Datenschutz

Bereits in den 1970ern und 1980ern forderte das Europäische Parlament, an die Vorbereitung einer Richtlinie zu denken, um den einzelnen Bürger vor Missbrauch bei der Speicherung, Verarbeitung und Verbreitung persönlicher Informationen durch automatische Datenbanken im öffentlichen wie im privaten Sektor zu schützen.

1970 verabschiedete Hessen das weltweit erste Datenschutzgesetz. Das Bundesdatenschutzgesetz folgte sieben Jahre später. Bis zum Anfang der achtziger Jahre folgten die Datenschutzgesetze in allen übrigen Bundesländern.

Der vermeintliche Grundstein des Datenschutzes wurde allerdings im Jahre 1983 durch das Bundesverfassungsgericht im so genannten Volkszählungsurteil gelegt. In diesem Urteil wurde das Recht auf informationelle Selbstbestimmung etabliert, das aus dem allgemeinen Persönlichkeitsrecht (Artikel 2 Absatz 1 Grundgesetz) und der Menschenwürde (Artikel 1 Absatz 1 Grundgesetz) abgeleitet wurde. Ab diesem Zeitpunkt stand unmissverständlich fest, dass Datenschutz ein Grundrecht ist.

„Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.

Einschränkungen dieses Rechts auf “informationelle Selbstbestimmung” sind nur im überwiegenden Allgemeininteresse zulässig. Sie bedürfen einer verfassungsgemäßen gesetzlichen Grundlage, die dem rechtsstaatlichen Gebot der Normenklarheit entsprechen muss.“

1995 erst wurde die europäische Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Richtlinie 95/46/EG) von der EU verabschiedet. Als Richtlinie erlangte diese keine unmittelbare Rechtswirkung in Deutschland, sondern musste in nationales Recht umgesetzt werden. Die Bundesrepublik begann mit der Umsetzung erst 2001 durch die Novellierung des BDSG.

2002 folgte dann die Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG), die neue Standards für den Datenschutz im Bereich der Telekommunikation setzte. Dies verursachte 2004 die Novellierung des Telekommunikationsgesetzes in Deutschland.

Bei der Umsetzung von Richtlinien in nationales Recht haben die Mitgliedsstaaten einen Umsetzungsspielraum. Dieser Spielraum hat dazu geführt, dass die Anforderungen des Datenschutzes in den einzelnen Mitgliedsstaaten teilweise stark voneinander abweichen. Durch die Einführung einer Datenschutz-Grundverordnung soll eine Harmonisierung des Datenschutzes in allen Mitgliedsstaaten erfolgen. Anders als Richtlinien ist eine Verordnung unmittelbar anwendbares Recht. Die Neuregelungen sollen zudem den heutigen technischen Standards Rechnung tragen.

Den Mitgliedstaaten ist es sonst grundsätzlich nicht erlaubt, den von der Verordnung festgeschriebenen Datenschutz durch nationale Regelungen abzuschwächen oder zu verstärken. Allerdings enthält die Verordnung verschiedene Öffnungsklauseln, die es den einzelnen Mitgliedstaaten ermöglichen, bestimmte Aspekte des Datenschutzes auch im nationalen Alleingang zu regeln. Daher wird die Datenschutz-Grundverordnung auch als „Hybrid“ zwischen Richtlinie und Verordnung bezeichnet.

Nach zähen Verhandlungen hat das Europaparlament seinen Vorschlag der Datenschutz-Grundverordnung zum Jahresanfang 2014 vorgelegt. Diese ist am 14. April 2016 vom Europäischen Parlament beschlossen worden und am 25. Mai 2016 in Kraft getreten. Nach einer zweijährigen Übergangszeit gilt die Datenschutz-Grundverordnung nun direkt in allen europäischen Mitgliedsstaaten.

Regelungsbedarf gibt es damit sowohl im Hinblick auf die Öffnungsklauseln der Datenschutz-Grundverordnung als auch wegen des Bedarfs der Bereinigung nationalen Datenschutzrechts. Diese Ziele wurden in Deutschland auf Bundesebene mit der Neufassung des Bundesdatenschutzgesetzes und der Änderung weiterer Gesetze erreicht. Das Gesetz vom 30. Juni 2017 hebt nationales Datenschutzrecht auf, passt Regelungen an und schafft teils neue Vorschriften für den Datenschutz.

Somit ist bei der Anwendung der DS-GVO immer auch das Bundesdatenschutzgesetz daraufhin zu überprüfen, ob es Modifikationen enthält.

Der Informationsrechtler Prof. Thomas Hoeren aus Münster bezeichnet die neue europäische Datenschutz-Grundverordnung als “eines der schlechtesten Gesetze des 21. Jahrhunderts” und “hirnlos”.

Als “biblisch” schlecht bezeichnete er ebenfalls die schwach ausgefallene Formulierung der Zweckbindung. Seiner Meinung nach sind den Regelungen “viel lobbyistisches Kaffeetrinken” vorausgegangen.

Richtig ist, dass das Gesetz völlig ohne landesspezifische Korrektur einen informatorischen Overkill mit überproportionalen Verpflichtungen schafft, ohne dass dies tatsächlich für irgendjemand einen Vorteil bringt.

Als Beispiel sei hier die Informationspflicht nach Art. 13 DSGVO genannt, die so umfangreich ist, dass sie niemals von irgendjemand tatsächlich zur Kenntnis genommen wird, außer von denjenigen, die nach Fehler suchen, um eine Abmahnung oder eine Anzeige durchzuführen.

1. Geschützt sind natürliche Personen (Art. 1 DS-GVO)
2. Geschützt sind deren Grundrechte und Grundfreiheiten, insbesondere das Recht auf Schutz personenbezogener Daten (Art. 1 DS-GVO)
3. Verpflichtet ist jeder, der über die Verarbeitung entscheidet (Art. 4 Nr.7 DS-GVO)

Ausnahme zum Verpflichten (Art. 2 Abs.2 (c) DS-GVO): Verarbeitung durch natürliche Personen zur Ausübung ausschließlich persönliche oder familiäre Tätigkeiten.

Inhaltlich geht es um personenbezogene Daten und die Bewertung, dass diese im Range von Grundrechte und Grundfreiheiten stehen. Alle Rechte und Pflichten daraus sind in der DS-GVO dann konkret ausgestaltet.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen.

Identifizierbar ist eine Person, die direkt oder indirekt identifiziert werden kann, indem sie „insbesondere = Beispiel“ mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer zu Standorten, zu einer Onlinekennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der psychologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität, identifiziert werden kann.

Das „identifiziert werden kann“ muss sehr weit verstanden werden. Es müssen auch Möglichkeiten der Identifizierung durch Dritte berücksichtigt werden, wenn sie als vernünftig und möglich erscheinen. So ist es zum Beispiel wahrscheinlich, dass eine IP-Adresse auf Anordnung eines Gerichts von einem Internet-Zugangsprovider einem Kunden zugeordnet werden kann (so werden File-Sharing-Verstöße nachgewiesen).

Jede Privatperson soll grundsätzlich das Recht haben zu bestimmen, was mit ihren Daten geschieht, wer sie wozu erhält. Der Grund dafür sind die durch die elektronische Datenverarbeitung entstandenen Möglichkeiten, Daten zu gewinnen und weiter zu verarbeiten.

Nicht geschützt sind Gesellschaften oder Behörden, jedoch die dort tätigen Personen.

Das Gesetz gilt nur für ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung von Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Dateisystem ist jede strukturierte Sammlung von Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon ob diese zentral, dezentral oder nach funktionalen oder geographischen Gesichtspunkten geordnet werden.

Es werden auch analoge Akten erfasst, soweit sie geordnet sind.

Somit sind personenbezogene Daten alle Daten, die geordnet sind.

Verpflichtet ist jeder, der über die Verarbeitung entscheidet (Art. 4 Nr. 7 DS-GVO).

Das ist:

• natürliche Person
• juristische Person
• Behörde
• Einrichtungen
• oder andere Stellen

Verpflichtete und somit Verantwortlicher ist jede natürliche oder juristische Person, Behörde, Einrichtungen oder andere Stellen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von Daten entscheiden, somit jeder.

Dem Datenschutz unterfällt die Verarbeiten von personenbezogenen Daten (Art. 4 Nr. 2 DS-GVO)

Verarbeiten ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit Daten, wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Vernichtung, somit jede Handlung.

So ist auch ein pseudonymisiertes Werbe-Cookie auf einem Computer samt darin gespeicherter Daten personenbezogen. Denn der Nutzer ist identifizierbar, zum Beispiel anhand der vielen zu ihm gespeicherten Verhaltensmerkmale und spätestens anhand der IP-Adresse.

Die IP-Adresse stellt wiederum eine „Online-Kennung“ im Sinne des Gesetzes, ein personenbezogenes Datum (Einzahl von Daten) dar.

1. Bei der Verarbeitung müssen die Grundsätze eingehalten werden.
2. Betroffener muss informiert werden.
3. Ein Verzeichnis von Verarbeitungstätigkeiten muss ggf. erstellt werden.
4. Eine Datenschutzfolgenabschätzung muss ggf. erfolgen.
5. Ein Datenschutzbeauftragter muss ggf. ernannt werden.

Die Verarbeitung der Daten soll sein:

Abs.1 a) rechtmäßig, nach Treu und Glauben transparent (Rechtmäßigkeit und Transparenz)

Abs.1 b) für festgelegte, eindeutige und legitime Zwecke erforderlich (Zweckbindung)

Abs.1 c) dem Zweck angemessen und erheblich (Datenminimierung)

Abs.1 d) sachlich richtig und auf den neuesten Stand (Richtigkeit)

Abs.1 e) nur so lange gespeichert wie erforderlich (Speicherbegrenzung)

Abs.1 f) mit angemessener Sicherheit zum Schutz vor unbefugter Verarbeitung und unbeabsichtigter Störung (Integrität und Vertraulichkeit, besser: Schutz der Daten)

Abs.2 der Verantwortliche muss die Einhaltung dieser Grundsätze nachweisen können (Rechenschaftspflicht), siehe § 26 Abs.5 BDSG

Die Zweckbindung, die Datenminimierung, die Speicherbegrenzung enthalten Wertungen, sodass hier im Zweifel immer argumentiert werden kann.

Bezüglich der Rechtmäßigkeit ist in Art. 6 DS-GVO festgelegt, wie diese zu erfolgen hat.

Bezüglich der Transparenz ist in Art. 12 ff. DS-GVO festgelegt, wie diese zu erfolgen hat.

Bezüglich der Zweckbindung erfolgt in verschiedenen Artikeln eine Konkretisierung, insbesondere bei den besonderen Daten.

Bezüglich der Richtigkeit, Datenminimierung und der Speicherbegrenzung erfolgt in Kapitel III. Abschnitt 3. eine Konkretisierung.

Bezüglich der Integrität und Vertraulichkeit (Schutz) erfolgt in Kapitel IV. Abschnitt 2 eine Konkretisierung.

In Art. 32 Bestreben, dass das System vertraulich sein muss, belastbar und wiederherstellbar bei Verlust. Zudem muss das System regelmäßig überprüft und bewertet werden.

Bezüglich der Rechenschaftspflicht ist im Art. 30 DS-GVO festgelegt, wie dies zu erfolgen hat.

Die Verarbeitung der Daten ist rechtmäßig, wenn eine der folgenden Bedingungen erfüllt ist:

Abs.1 a)          Einwilligung

Abs.1 b)          für Erfüllung des Vertrages erforderlich

Abs.1 c)          für Erfüllung einer rechtlichen Verpflichtung erforderlich

Abs.1 d)          erforderlich für lebenswichtige Interessen des Betroffenen

Abs.1 e)          Wahrnehmung im öffentlichen Interesse

Abs.1 f)           zur Wahrnehmung berechtigter Interessen des Verantwortlichen erforderlich

Relevant sind hier die Einwilligung und der Zweck, den Vertrag zu erfüllen.

Damit die Einwilligung wirksam ist, müssen folgende Voraussetzungen vorliegen:

Abs.1   Es muss eine Einwilligungserklärung vorliegen.

Art. 4 Nr. 11 DS-GVO   

Diese muss sein:

• Freiwillig
• für den bestimmten Fall
• in informierter Weise
• unmissverständlich

Abs.3   nicht widerrufen

Die Einwilligungserklärung kann grundsätzlich auch in einer sonstigen bestätigenden Handlung liegen, wenn diese eindeutig ist. Schriftlichkeit ist nicht erforderlich, wobei in der Regel Schriftlichkeit zum Nachweis dann doch vorliegen sollte.

Abs. 2 erklärt, dass Einwilligung, sollte sie aufgrund einer schriftlichen Erklärung erfolgen, die noch andere Sachverhalte enthält, die Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erfolgen muss, dass es von den anderen Sachverhalten klar zu unterscheiden ist.

Wenn die Einwilligung widerrufen wird, waren alle Handlungen bis zum Widerruf rechtmäßig.

Besondere Daten sind Daten mit folgendem Inhalt:

• rassistische und ethnische Herkunft
• politische Meinung
• religiöse oder weltanschauliche Überzeugung
• Gewerkschaftszugehörigkeit
• biometrische Daten
• Gesundheitsdaten
• Daten zum Sexualleben oder der sexuellen Orientierung

Hier muss eine konkrete (festgelegter Zweck) und ausdrückliche Einwilligung vorliegen.

Erforderlich ist keine schriftliche Einwilligung, sondern eine eindeutig bestätigende Handlung, aus der sich die Einwilligung ergibt. Konkludente Handlungen sind nicht ausreichend.

Dennoch wird sich aus Beweisgründen die Schriftlichkeit empfehlen.

Ausnahmen Abs. 2 b): Der Verantwortliche erfüllt seine Verpflichtungen aus dem Arbeitsrecht und dem Sozialrecht war.

Somit nicht erforderlich, eine ausdrückliche Einwilligung einzuholen bei der Verarbeitung von Arbeitsverträgen, obwohl hier die Religionszugehörigkeit enthalten ist.

Alle Informationen, die der Betroffene erhalten muss, sind wie folgt zu erteilen:

• präzise
• transparente, verständliche und leicht zugängliche Form
• klare und einfache Sprache
• schriftlich oder in anderer Form, gegebenenfalls auch elektronisch oder mündlich

Die transparente, verständliche und leicht zugängliche Form ist noch einigermaßen nachvollziehbar, wobei das Problem die klare und einfache Sprache ist. Die klare und einfache Sprache ist kaum zu bewältigen, da selbst die Verwendung der gesetzlichen Formulierung weder klar, noch einfach ist. Sie ist deswegen nicht klar, weil viele unbestimmte Rechtsbegriffe verwendet werden, viele auslegungsbedürftige Rechtsbegriffe und das Gesetz selbst nicht eindeutig sind.

Die einfache Sprache ist insofern ein Problem, da der Umfang, den eine einfache Sprache produziert, so groß ist, dass der dadurch entstehende Text allein aufgrund seines Umfanges nicht gelesen wird.

Zum Zeitpunkt der Erhebung der Daten ist der Betroffene über Folgendes aufzuklären:

Abs.1 a)          Name und Kontaktdaten des Verantwortlichen

Abs.1 b)          ggf. Kontaktdaten des Datenschutzbeauftragen

Abs.1 c)          Zweck der Verarbeitung und Rechtsgrundlage

Abs.1 d)          ggf. berechtigte Interessen

Abs.1 e)          ggf. Empfänger oder Kategorien von Empfängern

Abs.1 f)           Absicht zur Übermittlung an Drittland

Abs.2 a)          Dauer der Speicherung oder Kriterien der Dauer

Abs.2 b)          Auskunftsrecht bezüglich Daten, Löschungsrecht, Einschränkungsrecht

Abs.2 c)          Recht auf Widerruf der Einwilligung

Abs.2 d)          Beschwerderecht

Abs.2 e)          Notwendigkeit oder Pflicht zur Datenerhebung

Abs.2 f)           Automatisierte Entscheidungsfindung

Es ist somit erforderlich, dass jeder Unternehmer, der irgendwelche Daten von seinem Vertragspartner erhält, diese Information einmal ausarbeitet, um sie dann dem Vertragspartner bei Vertragsbeginn schriftlich zu übergeben und sie auf der Homepage zu platzieren.

§ 32 BDSG n.F. schafft dazu einen Ausnahmetatbestand:

Die Pflicht zur Information besteht nicht, wenn es sich um analog gespeicherte Daten handelt, der Verantwortliche wendet sich direkt an den Betroffenen und der Zweck ist vereinbar, die Kommunikation erfolgt analog und das Interesse des Betroffenen an der Information ist nach dem Umständen des Einzelfalles als gering anzusehen.

Jeder Betroffene kann von dem Verantwortlichen eine Bestätigung darüber verlangen, dass Daten verarbeitet werden. Wenn Daten verarbeitet werden, kann der Betroffene Auskunft über folgende Informationen verlangen:

Abs.1 a)          Verarbeitungszweck

Abs.1 b)          die Kategorien der Daten

Abs.1 c)          der Empfänger oder die Kategorien der Empfänger

Abs.1 d)          Recht auf Berichtigung oder Löschung und Einschränkung Beschwerderecht

Abs.1 f)           Beschwerderecht

Abs.1 g)          Herkunft der Daten

Abs.1 f)           Bestehen einer automatischen Entscheidungsfindung

Abs.2)             Garantien bei Übermittlung an Drittländer

Der Verantwortliche muss eine Kopie der Daten kostenlos zur Verfügung stellen

Jeder Verantwortliche (oder sein Vertreter) führt ein schriftliches Verzeichnis aller Verarbeitungstätigkeiten mit folgenden Angaben:

Abs.1 a)          Namen und Kontaktdaten des Verantwortlichen und ggf. Datenschutzbeauftragten

Abs.1 b)          Zweck der Verarbeitung

Abs.1 c)          Kategorien der betroffenen Personen und der betroffenen Daten

Abs.1 d)          Drittlandklausel

Abs.1 f)           die Fristen für die Löschung

Abs.1 g)          allgemeine Beschreibung der technischen und organisatorischen Maßnahmen nach Art. 32 DS-GVO

§ 70 Abs. 1 Nr. 7 BDSG n.F. Angaben über die Rechtsgrundlage der Verarbeitung

Ausnahmen davon nach Abs. 5:

• Unternehmen mit weniger als 250 Beschäftigte

Ausnahme wiederum davon:

• Verarbeitung birgt ein Risiko für den Datenschutz des Betroffenen in sich
• oder die Verarbeitung erfolgt nicht nur gelegentlich
• oder es handelt sich um besondere Daten nach Art. 9 DS-GVO

Das Verzeichnis muss der Datenschutzbehörde auf Anfrage zur Verfügung gestellt werden.

Zweck von Art. 30 ist die Förderung der allgemeinen Beachtung der Datenschutz Grundverordnung, aber auch deren Kontrollierbarkeit. Das Verarbeitungverzeichnis kann durch die Datenschutzbehörde als Einstieg für Kontrollen genutzt werden. Die Behörden werden voraussichtlich diese Verarbeitungsverzeichnisse großflächig abfragen, um dann darauf Kontrollen durchzuführen.

Daher sind die Ausnahmen wichtig. Bei Unternehmen mit weniger als 250 Beschäftigte zu fragen, ob es sich um besondere Daten handelt, wobei Daten für eine Lohnbuchhaltung, bzw. Verwaltung der Arbeitsverträge nicht darunter fallen. Weiterhin darf die Verarbeitung nicht nur gelegentlich erfolgen. Gelegentlich ist immer die Datenverarbeitung, die zu jedem Unternehmen gehört, beispielsweise die Führung einer Kundenkartei.

Der Verantwortliche hat eine Datenschutz-Folgenabschätzung durchzuführen, wenn die Verwendung neuer Technologien voraussichtlich ein hohes Risiko für den Betroffenen beinhaltet.

Welche Verarbeitungsvorgänge auf jeden Fall darunter fallen, ergibt sich aus einer Positivliste der Aufsichtsbehörde, die unter der Homepage der Aufsichtsbehörde abzurufen ist.

Liegt ein entsprechender Fall vor, hat der Verantwortliche die Datenschutz-Folgenabschätzung durchzuführen und vor der Verarbeitung die Aufsichtsbehörde zu konsultieren. Die Aufsichtsbehörde kann darauf schriftlich Empfehlungen aussprechen und Kontrollmaßnahmen nach Art. 58 ausführen.

Die Datenschutz-Folgenabschätzung bezieht sich insbesondere auf die systematische Bewertung persönlicher Aspekte von Personen durch automatische Verarbeitung, einschließlich Profiling oder durch umfangreiche Verarbeitung sensibler Daten nach Art. 9

Der Verantwortliche muss einen Datenschutzbeauftragten benennen wenn:

Abs.1 a)    eine Behörde oder öffentliche Stelle verarbeitet

Abs.1 b)    die Kerntätigkeit des Verantwortlichen in der Verarbeitung von Daten besteht, welche aufgrund ihrer Art, ihres Umfangs oder ihres Zweckes eine umfangreiche regelmäßige und systematische Überwachung von Personen erfordert

Abs.1 c)    die Kerntätigkeit des Verantwortlichen in der Verarbeitung von sensiblen Daten nach Art. 9 besteht

weiterhin:

§ 38 BDSG n.F.         wenn mindestens 10 Personen ständig mit der Datenverarbeitung beschäftigt sind

§ 38 BDSG n.F.         wenn eine Datenschutz-Folgenabschätzung gemacht werden muss

§ 38 BDSG n.F.         Datenverarbeitung erfolgt geschäftsmäßig zur Übermittlung, Meinungsforschung usw.

Sind in einem Unternehmen somit mindestens 10 Personen (auch Teilzeitkräfte) mit Datenverarbeitung, welcher Art auch immer, beschäftigt, ist ein Datenschutzbeauftragter benennen.

Das Gesetz verlangt eine berufliche Qualifikation und Fachwissen.

Es ist nicht erforderlich, dass der Datenschutzbeauftragte ein IT- oder Rechtsexperte sein muss oder alle technischen Vorgänge und juristischen Vorschriften kennt. Ebenfalls muss er keinen speziellen Abschluss irgendeiner Ausbildung haben.

Er muss ein Allrounder mit einem Überblick über die jeweilige Unternehmenssituation haben. Voraussetzungen sind:

• Kenntnisse der Datenschutzgesetze
• Verständnis der Verarbeitungsvorgänge
• Verständnis der Inflationstechnologie und Datensicherheit
• Fähigkeit, die Datenschutzvorschriften im Unternehmen durchzusetzen.

Dem Datenschutzbeauftragten obliegen folgende Aufgaben

Abs.1 a)    Unterrichtung und Beratung des Verantwortlichen hinsichtlich seiner Pflichten nach Datenschutzrecht

Abs.1 b)    Überwachung der Einhaltung der Datenschutzgesetze, Sensibilisierung und Schulung der Mitarbeiter

Abs.1c)     Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und deren Überwachung

Abs.1 d)    Anlaufstelle für die Aufsichtsbehörde

Zur Durchsetzung seiner Aufgaben hat er folgende formale Position:

• der darf keine Weisungen bezüglich seiner Aufgabenerfüllung erhalten
• er darf wegen seiner Aufgabenerfüllung nicht abberufen oder benachteiligt werden
• er berichtet unmittelbar der höchsten Managementebene
• er ist an Geheimhaltung und Vertraulichkeit gebunden
• seine sonstigen Verpflichtungen dürfen nicht mit den Datenschutzaufgaben kollidieren

Beim Datenschutzbeauftragten gibt es 2 Möglichkeiten:

1.         angestellter Datenschutzbeauftragter

Die Haftung des Datenschutzbeauftragten ist arbeitsrechtlich begrenzt. Nach § 6 BDSG n.F. kann der Datenschutzbeauftragte nur aus wichtigem Grunde nach § 626 BGB gekündigt werden und dieser Kündigungsschutz gilt auch nach Beendigung seiner Datenschutz Tätigkeit noch ein Jahr fort.

2.         vertraglich beauftragter Datenschutzbeauftragter.

Hier gelten obige Beschränkungen nicht. Es besteht eine Haftung nach Art des Auftragsvertrages und es besteht auch kein Kündigungsschutz.

Verstöße gegen den Datenschutz führen zu unterschiedliche Folgen:

I.          Art. 33 Abs.1 DS-GVO          Meldung an die Aufsichtsbehörde binnen 72 Stunden

II.         Art. 34 Abs.1 DS-GVO          Meldung an den Betroffenen unverzüglich

III.        Betroffener meldet den Verstoß der Aufsichtsbehörde. Diese ermittelt.

IV.        Die Aufsichtsbehörde verhängt eine Geldbuße, die wirksam, verhältnismäßig und abschreckend ist. Die Höhe beträgt bis zu 10 Mio. € oder 2 % des Jahresumsatzes

V.          Art. 82 DS-GVO   Verantwortlicher muss gegenüber den Betroffenen Schadenersatz bezahlen.

VI.         Zivilrechtliche Abmahnung mit Kostentragungspflicht.

Für normale Unternehmer ist nicht das angedrohte Bußgeld problematisch, da die Datenschutzbehörde allein schon wegen Personalmangel nicht in der Lage ist, alle Verstöße zu verfolgen. Es ist davon auszugehen, dass die Datenschutzbehörde Beschwerden bearbeitet.

Diese Beschwerden können jedoch Ermittlungen in Gang setzen, zu weiteren Maßnahmen der Datenschutzbehörde führen und somit kostenpflichtig und zeitaufwendig sein.

Die größte Gefahr droht dabei von Konkurrenten, enttäuschenden Mitarbeitern oder enttäuschten Kunden.

Auch zivilrechtliche Abmahnungen können hier die Folge sein, die zumindest nicht Kosten entstehen lassen.

1. Schritt:

• Erstellung der Datenschutzinformationen für die Homepage und für die Kunden.
• Überprüfung, ob für die Rechtmäßigkeit eine Einwilligung erforderlich ist oder die Vertragserfüllung ausreicht.

Dieser Schritt ist recht kostengünstig durch entsprechende Dienstleister zu erhalten.

2. Schritt:

• Verzeichnis von Verarbeitungstätigkeiten
• ggf. Datenschutz-Folgenabschätzungen
• ggf. Datenschutzbeauftragter

Dieser Schritt ist je nach Umfang nur kostenintensiv durch entsprechende Dienstleister zu erhalten.

Einerseits sind die entsprechenden seriösen Dienstleister noch nicht in ausreichender Anzahl vorhanden, die Vorhandenen ausgebucht.

Andererseits sind die Vorgänge aufwändig, da allein bei der Erstellung des Verarbeitungsverzeichnisses erforderlich ist, dass der gesamte betriebliche Ablauf offen gelegt wird und aus diesem Ablauf der Dienstleister dann die einzelnen Verarbeitungsschritte unter datenschutzrechtlichen Gesichtspunkten ausarbeitet. Dazu muss der Dienstleister nicht nur Kenntnisse im Datenschutzrecht haben, sondern auch den Arbeitsablauf verstehen.

Weiterhin kann die Benennung eines Datenschutzbeauftragten schwierig werden, denn schon allein die Nachteile eines angestellten Datenschutzbeauftragten zu einem Dienstvertrag beauftragten Datenschutzbeauftragten erfordert eine Abwägung aller Vor- und Nachteile.