Ich helfe Ihnen, rufen Sie an!
24h* +49 611 89060871
(*soweit technisch verfügbar)
Kostenlosen Ratgeber zur Verteidigung gegen
Abmahnung als 28 Seiten PDF-Dokument
Achtung: Der Beitrag kann die rechtliche Beratung im Einzelfall nicht ersetzen!
Die DSGVO beruht auf der Stellung des Schutzes persönlicher Daten als europaweit garantiertem Grundrecht nach Art. 8 I der europäischen Grundrechte-Charta:
„Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.“
Dies spiegelt sich auch in den Erwägungsgründen der Kommission wider, die die DSGVO verfasst hat:
„Die Grundsätze und Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten sollten gewährleisten, dass ihre Grundrechte und Grundfreiheiten und insbesondere ihr Recht auf Schutz personenbezogener Daten ungeachtet ihrer Staatsangehörigkeit oder ihres Aufenthaltsorts gewahrt bleiben. Diese Verordnung soll zur Vollendung eines Raums der Freiheit, der Sicherheit und des Rechts und einer Wirtschaftsunion, zum wirtschaftlichen und sozialen Fortschritt, zur Stärkung und zum Zusammenwachsen der Volkswirtschaften innerhalb des Binnenmarkts sowie zum Wohlergehen natürlicher Personen beitragen.“
(Erwägungsgrund 2, EU-VO 2016/679 vom 27.04.2016 = DS-GVO)
Grundsätzlich ist nach Art. 4 Nr. 7 DSGVO jede
„natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“
„Verantwortlicher“ im Sinne der DSGVO, der ihre Vorschriften einzuhalten hat und bei Zuwiderhandlung nach DS-GVO sanktioniert werden kann.
Darunter fallen also grade auch Unternehmen.
Der Begriff des „Unternehmens“ liegt aber in der DSGVO in zwei verschiedenen Varianten vor.
Zum einen wird der Begriff nach gängiger EuGH-Rechtsprechung in Art. 4 Nr. 18 DSGVO wie folgt definiert:
„eine natürliche und juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform, einschließlich Personengesellschaften oder Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen.“
Allerdings ist damit nicht der derselbe Adressat wie in Art. 83 IV – VI DSGVO gemeint.
Bei der Berechnung der maximalen Bußgeldhöhe nach Jahresumsatz kommt es nicht auf die eine juristische Person an, die den Verstoß zu verantworten hat, sondern auf den Mutterkonzern.
Nach Erwägungsgründen der Kommission ist dies die einzig sinnvolle Auslegung des Begriffs „Unternehmen“ in dem Zusammenhang
„um die Einhaltung der aus dieser Verordnung erwachsenden Verpflichtungen zu gewährleisten und die Folgen des Verstoßes abzuwenden oder abzumildern“,
da nur so eine „wirksame“ und „abschreckende“ Wirkung mit Bußgeldern erzielt werden kann (Art. 83 I):
„Werden Geldbußen Unternehmen auferlegt, sollte zu diesem Zweck der Begriff „Unternehmen“ im Sinne der Artikel 101 und 102 AEUV verstanden werden.“ (Erwägungsgrund 150)
Der Begriff des Unternehmens nach Artt. 101, 102 AEUV auf den Bezug genommen wird, wird nach europäischer Kartell-Rechtsprechungspraxis folgendermaßen ausgelegt:
„eine wirtschaftliche Einheit, die aus einer einheitlichen
Organisation personeller, materieller oder immaterieller Mittel besteht, welche dauerhaft einen wirtschaftlichen Zweck verfolgt. Damit kann ein Unternehmen aus mehreren natürlichen oder juristischen Personen, Verbänden oder auch Unternehmensvereinigungen bestehen, soweit sie wirtschaftlich tätig sind.“
(Cornelius: Die „datenschutzrechtliche Einheit“ als Grundlage des bußgeldrechtlichen Unternehmensbegriff nach der EU-DSGVO, NZWiSt 2016, 421 (423), online abrufbar bei beck-online)
Diesem Verständnis entspricht auch die Verwendung zweier unterschiedlicher Begriffe in der Original-Fassung der „GDPR“ in Art. 4 XVIII DSGVO („enterprise“) respektive Art. 83 IV, V, VI DSGVO („undertaking“) (englische Originalfassung der DSGVO)
Alle Anforderungen, die die DS-GVO an Datenverarbeiter stellt, unterstehen den Grundsätzen zur Datenverarbeitung in Art. 5 DS-GVO.
Art. 5 I a DSGVO normiert die Grundsatz-Trias von „Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“.
Rechtmäßigkeit nach Vorstellung der Kommission bedeutet:
„Damit die Verarbeitung rechtmäßig ist, müssen personenbezogene Daten mit Einwilligung der betroffenen Person oder auf einer sonstigen zulässigen Rechtsgrundlage verarbeitet werden, die sich aus dieser Verordnung oder — wann immer in dieser Verordnung darauf Bezug genommen wird — aus dem sonstigen Unionsrecht oder dem Recht der Mitgliedstaaten ergibt“. (EG 40)
Verarbeitung nach Treu und Glauben lässt sich besser mit dem englischen Originalbegriff „fairness“ (https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679) erläutern: Abgesehen von der Rechtmäßigkeit, die eine rechtliche Grundlage für die Datenverarbeitung erfordert, gibt es noch dieses Korrektiv, um einer rechtsmissbräuchlichen Ausweitung legaler, aber dann eben „unfairer“ Praktiken begegnen zu können.
Schließllich ist noch die Transparenz von entscheidender Bedeutung, auch wenn sie eigentlich nur einen Ausfluss aus der Verarbeitung nach Treu und Glauben darstellt:
„Der Grundsatz der Transparenz ist bereits heute als Ausprägung der Verarbeitung nach Treu und Glauben anerkannt […]. Der Unionsgesetzgeber hat den Grundsatz der Transparenz nun auch ausdrücklich aufgenommen, um seine besondere Bedeutung zu betonen.“
(Wolff/Brink/Schantz, BeckOK Datenschutzrecht, 28. Edition Stand: 01.02.2019, Art.5, Rn 10)
Transparenz bedeutet dabei nach Vorstellung der Kommission folgendes:
„Für natürliche Personen sollte Transparenz dahingehend bestehen, dass sie betreffende personenbezogene Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden und in welchem Umfang die personenbezogenen Daten verarbeitet werden und künftig noch verarbeitet werden. Der Grundsatz der Transparenz setzt voraus, dass alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen Daten leicht zugänglich und verständlich und in klarer und einfacher Sprache abgefasst sind.“ (EG 39)
Auf diesen Grundsätzen basieren alle weiteren Vorgaben der DS-GVO.
Folgende speziellere Grundsätze gehen ebenfalls aus diesen drei hervor:
Art. 5 I b DSGVO normiert die Zweckbindung, nach der jede Datenverarbeitung nur für „festgelegte, eindeutige und legitime Zwecke“ erfolgen darf.
Dies entspricht dem Prinzip der Rechtmäßigkeit, da es für die Verarbeitung zwingend das Vorliegen einer rechtlichen Grundlage voraussetzt.
Art. 5 I c DSGVO enthält den Grundsatz der Datenminimierung, der der Rechtmäßigkeit und der Verarbeitung nach Treu und Glauben entspringt: Die verarbeiteten Daten müssen für den Zweck „erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“, d.h. Daten, die nicht für den festgelegten Zweck erforderlich sind, dürfen weder erhoben noch gespeichert werden.
Art. 5 I d DS-GVO,ebenfalls basierend auf „fairness“ und Rechtmäßigkeit, legt den Grundsatz der Richtigkeit fest. Demnach müssen verarbeitete Daten „sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein“.
Art. 5 I e DSGVO normiert den Grundsatz der Speicherbegrenzung, der eng verwandt mit der Datenminimierung ist. Demnach dürfen Daten, die eine Identifizierung ermöglichen, nur so lange gespeichert werden, wie es für den festgelegten Zweck erforderlich ist.
Dazu zählen zum Beispiel auch biometrische Daten und damit unterfallen der Speicherbegrenzung auch Videoaufnahmen von Überwachungskameras und Dashcams.
Grundsätzlich ist bei Aufnahmen von Dashcams zu beachten, dass ein anlassloser Dauerbetrieb nicht zulässig ist.
Aufnahmen von Überwachungskameras dürfen sich nicht auf öffentliche Bereiche erstrecken, da ihr Zweck meist z.B. der Schutz des Eigentums durch Ermittlungsmöglichkeit eines Eindringlings oder durch Beweismöglichkeit für das Fehlverhalten eines Angestellten ist. Zudem dürfen solche Aufnahmen nach dem Grundsatz der Speicherbegrenzung nicht dauerhaft aufgehoben werden.
Dieser Wertung entstammt auch die Empfehlung der Datenschutzkonferenz, dass sich durch das Gebot der Datenminimierung und Speicherbegrenzung eine Pflicht ableiten lässt, Überwachungsmaterial schnellstmöglich zu sichten:
„Die Daten der Videoüberwachung sind unverzüglich zu löschen, wenn sie zur Erreichung der Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind (Art. 17 Abs. 1 lit. a DS-GVO) oder schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen. Ob eine Sicherung des Materials notwendig ist, dürfte grundsätzlich innerhalb von ein bis zwei Tagen geklärt werden können. Unter Berücksichtigung von Art. 5 Abs. 1 lit. c und e DS-GVO – „Datenminimierung“ und „Speicherbegrenzung“ – sollte demnach grundsätzlich, wie bisher auch, nach 48 Stunden eine Löschung erfolgen.“
(Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz), Kurzpapier Nr. 15)
Art. 5 I f DSGVO enthält die Grundsätze von Integrität und Vertraulichkeit der Datenverarbeitung: Demnach muss eine angemessene Sicherheit durch technische und organisatorische Maßnahmen gewährleistet werden,
„einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung“.
Nach dem Grundsatz der Rechtmäßigkeit aus Art. 5 I a DSGVO und der Zweckbindung aus Art. 5 I b DSGVO muss eine rechtliche Grundlage für die Verarbeitung von personenbezogenen Daten vorliegen.
Die möglichen rechtlichen Grundlagen sind in Art. 6 I DSGVO festgelegt, Art. 6 II, III DSGVO ermöglichen den EU-Mitgliedsstaaten Konkretisierungen.
Art. 6 I b DSGVO normiert den Hauptfall der rechtlichen Grundlage: die Erhebung von Daten zur Erfüllung eines Vertrages.
Art. 6 I c DSGVO bietet ergänzend die Grundlage zur Erfüllung einer anderen rechtlichen Verpflichtung.
Art. 6 I d DSGVO setzt den Schutz von lebenswichtigen Interessen der betroffenen oder einer anderen natürlichen Person als mögliche Grundlage.
Art. 6 I e DSGVO legt fest, dass auch die Verarbeitung im Interesse der Öffentlichkeit oder in Ausübung öffentlicher Gewalt als Grundlage dienen kann.
Art. 6 I f DSGVO enthält die Abwägung zwischen den Rechten des Verantwortlichen und des Betroffenen, nach der bei Überwiegen eines berechtigten Interesses des Verantwortlichen, eine rechtliche Grundlage für die Verarbeitung von Daten, die zur Wahrung des Interesses erforderlich sind, gegeben ist.
Die in Art. 6 I b-f DSGVO genannten rechtlichen Grundlagen haben eines gemeinsam: Das Merkmal der Erforderlichkeit, da nur Daten verarbeitet werden dürfen, die für die jeweilige Zweckerreichung notwendig sind.
Das VG Lüneburg hat die Erforderlichkeit in einem Teilurteil in Bezug auf das Arbeitgeber-Arbeitnehmer-Verhältnis präzisiert:
„Für die Bestimmung der Erforderlichkeit kommt es auf die berechtigten Interessen und Zwecke des Arbeitgebers an. Hierbei ist grds. in Rechnung zu stellen, dass dem Arbeitgeber die nach Art. 12 GG verbriefte unternehmerische Freiheit zusteht, zu entscheiden, wie er seinen Betrieb organisiert […]. Mit „Erforderlichkeit“ bezeichnet das Gesetz eine Abwägung der gegenläufigen Interessen. Klar jedoch ist, dass ungeeignete Mittel/Maßnahmen niemals erforderlich sind.“
(VG Lüneburg Teilurteil vom 19.3.2019 – 4 A 12/19, Rn. 30)
Nur, wenn keine gesetzliche Grundlage vorliegt, kann eine wirksame und widerrufbare Einwilligung als rechtliche Grundlage für die Datenverarbeitung dienen. Dies ist ein Ausfluss der Datenfreiheit, da das Recht auf Schutz der persönlichen Daten auch die Freiheit, seine Daten anderen mitzuteilen, umfasst.
Art. 7 DSGVO enthält die Voraussetzungen einer gültigen Einwilligung.
Art. 7 I DSGVO normiert eine Nachweispflicht des Datenverarbeiters, dass eine Einwilligung vorliegt.
Art. 7 II DSGVO legt fest, dass der Verantwortliche um Einwilligungen, die schriftlich erfolgen und für mehrere Sachverhalte gelten sollen, „in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ ersuchen muss. Verstößt ein Teil der Erklärung gegen dieses Gebot der Verständlichkeit, ist er ungültig.
Art. 7 III DSGVO enthält das Widerrufsrecht des Betroffenen für die Einwilligung.
Art. 7 IV DSGVO konkretisiert die Freiwilligkeit der Einwilligung, bei deren Beurteilung berücksichtigt werden soll, ob eine Einwilligung vom Verantwortlichen gefordert wurde, die sich auf Daten bezieht, die für die Erfüllung des Vertrages nicht erforderlich sind.
Dies findet sich auch in den Erwägungsgründen zur DSGVO wieder:
„Es sollte nur dann davon ausgegangen werden, dass sie ihre Einwilligung freiwillig gegeben hat, wenn sie eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden.“ (EG 42)
Dies hat auch das Kammergericht in Berlin bei seiner Entscheidung vom 27.12.18 berücksichtigt:
„Der Senat hält es für eindeutig und keiner Klärung durch den EuGH bedürftig, dass die bloß einseitige Verlautbarung bestimmter Datenverarbeitungspraktiken durch einen Klauselverwender keine Einwilligung des Betroffenen darstellt. Die Unterrichtung über Datenverarbeitungspraktiken, die sich die Bekl. selbst erlaubt und die ihre Kunden ungefragt hinzunehmen haben, ersetzt nicht deren Einwilligung. […] Denn darin liegt gerade die unzulässige Abweichung der Klauseln von der gesetzlichen Regelung, dass sie dem Verbraucher den unzutreffenden Eindruck vermitteln, dass die Bekl. zur Verarbeitung personenbezogener Daten berechtigt sei, ohne dass es auf dessen Einwilligung ankomme.“ (KG, Urteil vom 27.12.2018 – 23 U 196/13, Rn. 26)
Art. 8 DSGVO trägt der besonderen Schutzwürdigkeit von Kindern Rechnung, da er für die Einwilligung von diesen besondere Bedingungen vorsieht:
Nach Art. 8 I DSGVO ist die Einwilligung in die Datenverarbeitung der Daten eines Kindes gültig, wenn es 17 Jahre alt ist oder die „Träger der elterlichen Verantwortung“ ihre Zustimmung gegeben haben.
Art. 8 II DSGVO normiert die Pflicht des Datenverarbeiters, technische Maßnahmen zu ergreifen, um sich der Gültigkeit der Einwilligung zu versichern.
Art. 9 I DSGVO untersagt die Verarbeitung von besonderen sensiblen Daten grundsätzlich. Zu diesen sensiblen Daten gehören jene, „aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person“.
Art. 9 II, III DSGVO enthält die Ausnahmen, unter denen eine Verarbeitung doch gestattet ist.
Wichtigste Ausnahme bildet nach Art. 9 II a DS-GVO die Einwilligung, da das Recht auf Datenschutz auch die Freiheit, seine Daten anderen mitzuteilen, umfasst.
Art. 10 DSGVO beschränkt die Zulässigkeit der Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten auf Verarbeitung unter behördlicher Aufsicht, soweit nicht das Recht der Mitgliedstaaten eine andere Verarbeitung gestattet, die den Schutz der in der EU festgelegten Rechte und Freiheiten garantiert.
Art. 11 DSGVO legt fest, dass Verantwortliche keine zusätzlichen Daten, die zur Identifizierung der betroffenen Person notwendig sind, aufbewahren müssen, um z.B. ihrer Informationspflicht nachkommen zu können, wenn die zur Identifizierung nötigen Daten nicht zur Erfüllung des Zwecks der Datenverarbeitung erforderlich sind.
Art. 28 DS-GVO betrifft die Beschäftigung eines Auftragsverarbeiters: Hier gelten dieselben Anforderungen wie an den Datenverarbeiter selbst, dieser muss sich bei der Weitergabe von Daten an den Auftragsverarbeiter von dessen Einhaltung der DS-GVO überzeugen, so soll z.B. nach Art. 28 III DS-GVO ein Auftragsverarbeitungsvertrag als rechtliche Grundlage und Nachweis dienen.
Das in Art. 5 I f DS-GVO normierte Gebot der Integrität und Vertraulichkeit schlägt sich in Art. 32 DS-GVO nieder, der die Mindestanforderungen an Technik und Organisation des Datenverarbeiters zum Schutz der Daten festlegt.
In den Erwägungsgründen der Kommission wurden diese Anforderungen wie folgt begründet:
„Zum Schutz der in Bezug auf die Verarbeitung personenbezogener Daten bestehenden Rechte und Freiheiten natürlicher Personen ist es erforderlich, dass geeignete technische und organisatorische Maßnahmen getroffen werden, damit die Anforderungen dieser Verordnung erfüllt werden. Um die Einhaltung dieser Verordnung nachweisen zu können, sollte der Verantwortliche interne Strategien festlegen und Maßnahmen ergreifen, die insbesondere den Grundsätzen des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) Genüge tun. Solche Maßnahmen könnten unter anderem darin bestehen, dass die Verarbeitung personenbezogener Daten minimiert wird, personenbezogene Daten so schnell wie möglich pseudonymisiert werden, Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten hergestellt wird, der betroffenen Person ermöglicht wird, die Verarbeitung personenbezogener Daten zu überwachen, und der Verantwortliche in die Lage versetzt wird, Sicherheitsfunktionen zu schaffen und zu verbessern.“ (EG 78)
Verstöße gegen Art. 32 DS-GVO sind die häufigste Ursache für Datenpannen.
Die Meldepflicht für Datenpannen nach Art. 33 DS-GVO an die Aufsichtsbehörde und die Benachrichtigungspflicht nach Art. 34 DS-GVO der Betroffenen folgen aus dem Transparenzgebot.
Sie haben in erster Linie den Schutz der Betroffenen im Blick, wie aus den Erwägungsgründen der Kommission hervorgeht:
„Eine Verletzung des Schutzes personenbezogener Daten kann — wenn nicht rechtzeitig und angemessen reagiert wird — einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person.“ (EG 85)
Art. 37 DSGVO legt fest, unter welchen Voraussetzungen ein Datenverarbeiter die Pflicht zur Einstellung eines Datenbeauftragten hat.
Nach Art. 37 VII DSGVO besteht die Pflicht zur Veröffentlichung der Kontaktdaten des Datenschutzbeauftragten, damit dieser als Anlaufstelle für Betroffene dienen kann.
Sie dürfen auf diese Webseite verlinken, den Link finden Sie hier:
Klicken Sie auf das Formularfeld und kopieren Sie sich den HTML-Code heraus.
Rechtsanwalt Christoph Scholze
Fachanwalt für IT-Recht (Informationstechnologierecht)
TÜV geprüfter Datenschutzbeauftragter (DSB)
IHK geprüfter Informationssicherheitsbeauftrager (ISB)
Lehrbeauftragter Dozent bei der Thüringer Verwaltungsschule (TVS)
Tel.: +49 611 89060871
AID24 Rechtsanwaltskanzlei
in Erfurt, Wiesbaden und Frankfurt am Main
