DSGVO – Auftragsverarbeitung
Die Datenschutz-Grundverordnung bietet europaweit einheitlich die Möglichkeit zur sog. Auftragsverarbeitung. Die Auftragsverarbeitung ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Auftragsverarbeiter gemäß den Weisungen des für die Datenverarbeitung Verantwortlichen auf Grundlage eines Vertrages.
Die entsprechenden Vorschriften zur Auftragsverarbeitung finden dabei schon dann Anwendung, wenn die Verarbeitung einen Zusammenhang mit Tätigkeiten einer Niederlassung in der Union aufweist. Das bedeutet, dass es ausreichend ist, wenn entweder der Verantwortliche oder der Auftragsverarbeiter eine Niederlassung in der Union betreibt und die Verarbeitung mit der Arbeit in dieser zusammenhängt. Von der Konstellation der Auftragsverarbeitung ist die der gemeinsam Verantwortlichen (Art. 26 EU-DSGVO) zu unterscheiden, die zusammen die Zwecke und die Mittel der Datenverarbeitung festlegen und für diese auch gemeinsam einstehen. Der Verantwortliche hat bei der Auswahl des Auftragsverarbeiters sicherzustellen, dass dieser ausreichende technische und organisatorische Maßnahmen implementiert, so dass die Vorschriften der Verordnung eingehalten werden.
In den meisten Fällen erfolgt die Auftragsverarbeitung auf Grundlage eines Vertrags. Der Art. 28 Abs. 3 DSGVO gibt dabei dessen inhaltliche Mindestanforderungen vor. So muss dieser unter anderem unbedingt enthalten, welche Art von personenbezogenen Daten verarbeitet werden sowie was Gegenstand und was Zweck der Verarbeitung sind. Darüber hinaus bestehen für den Auftragsverarbeiter weitere Pflichten. Beispielweise muss er auch ein Verzeichnis über die Verarbeitungstätigkeiten führen, welche den Namen und die Kontaktdaten jedes Verantwortlichen umfasst, in dessen Auftrag er tätig ist sowie die Kategorien von Verarbeitungen, die dabei durchgeführt werden. Des Weiteren umfasst das Verzeichnis gegebenenfalls eine Übermittlung von personenbezogenen Daten in Drittländer und nach Möglichkeit eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen.
Grundsätzlich ist der Verantwortliche der erste Ansprechpartner für Betroffene und für die Einhaltung der datenschutzrechtlichen Vorgaben zuständig. Das bedeutet aber nicht, dass der Auftragsverarbeiter frei von Haftung wäre. Nach Art. 82 EU-DSGVO haftet er mit dem Verantwortlichen gemeinsam. Jedoch beschränkt sich seine Haftung nach Abs. 2 auf Verstöße gegen speziell ihm auferlegte Pflichten. Beiden Parteien steht die Möglichkeit der Exkulpation zur Verfügung. Dazu müssen sie nachweisen, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich sind.
DSGVO – Recht auf Vergessenwerden
Das Recht auf Vergessenwerden erhielt durch das Google-Spain-Urteil des Europäischen Gerichtshofs (EuGH) im Jahr 2014 breite mediale Aufmerksamkeit. Nun findet sich das Recht auf Vergessenwerden erstmals kodifiziert in der Datenschutz-Grundverordnung neben dem Recht auf Löschung wieder.
Dabei regelt die entsprechend benannte Norm primär Löschpflichten. Demnach sind personenbezogene Daten unverzüglich zu löschen, sobald die Daten zum ursprünglichen Verarbeitungszweck nicht mehr notwendig sind, bzw. die betroffene Person ihre Einwilligung widerrufen hat und kein sonstiger Rechtfertigungsgrund einschlägig ist, die betroffene Person Widerspruch einlegt und keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen oder die Löschung zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich ist. Daneben sind die Daten selbstverständlich zu löschen, wenn bereits die Verarbeitung an sich unrechtmäßig war.
Der Verantwortliche unterliegt also einerseits automatisch einer gesetzlichen Löschungspflicht und muss andererseits den Löschungsbegehren der Betroffene nachkommen. Wie die Daten im Einzelfall gelöscht werden sollen, wird vom Gesetz nicht weiter beschrieben. Maßgeblich ist, dass im Ergebnis keine Möglichkeit mehr besteht, die Daten ohne unverhältnismäßigen Aufwand wahrzunehmen. Als ausreichend wird es daher angesehen, die Datenträger physisch zu zerstören oder die Daten unter Verwendung spezieller Software endgültig zu überschreiben.
Daneben findet das Recht auf Vergessenwerden Einzug in Art. 17 Abs. 2 DSGVO. Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und liegt einer der oben genannten Gründe zur Löschung vor, so muss er unter Berücksichtigung der Umstände angemessene Maßnahmen treffen, die alle weiteren für die Datenverarbeitung Verantwortlichen darüber informieren, dass alle Links zu diesen personenbezogenen Daten oder Kopien oder Replikationen der personenbezogenen Daten zu löschen sind.
Ein Löschantrag steht unter keinerlei Formvoraussetzungen und darf durch den Verantwortlichen auch nicht an solche geknüpft werden. Dennoch muss die Identität des Betroffenen in geeigneter Weise nachgewiesen werden. Anderenfalls kann der Verantwortliche erst noch zusätzliche Informationen anfordern oder das Löschen sogar verweigern. Liegt ein Antrag auf Löschung oder eine gesetzliche Löschpflicht vor, hat die Umsetzung unverzüglich zu erfolgen. Das bedeutet, dass dem Verantwortlichen nur eine angemessene Zeit zur Prüfung der Voraussetzungen einer Löschung zur Verfügung steht. Im Falle eines Löschungsantrags ist der Betroffene spätestens innerhalb eines Monats über ergriffene Maßnahmen oder über die Gründe der Ablehnung zu informieren. Ein weiteres Mal schlägt sich das Recht auf Vergessenwerden in der Mitteilungspflicht wieder. Neben der Löschung hat der Verantwortliche gemäß Art. 19 EU-DSGVO sämtliche Empfänger der Daten darüber zu informieren. Dabei hat er alle ihm zur Verfügung stehenden Mittel und angemessene Maßnahmen auszuschöpfen.
DSGVO Informationspflichten
Damit Unionsbürger ihr Recht auf Schutz personenbezogener Daten wahrnehmen können, bedarf es Transparenz bei der Datenerhebung und -nutzung. Deshalb sieht die Datenschutz-Grundverordnung eine Vielzahl von Informationspflichten vor.
Das Gesetz unterscheidet dabei zwischen zwei Fällen: Zum einen, wenn die personenbezogene Daten bei dem Betroffenen direkt erfasst werden (Art. 13 DSGVO) und zum anderen, wenn diese nicht bei der betroffenen Person erhoben werden (Art. 14 DSGVO).
Bei der Direkterhebung ist dieser unverzüglich zu informieren. Inhaltlich umfassen hier die Informationspflichten des Verantwortlichen seine Identität, die Kontaktdaten des Datenschutzbeauftragen (sofern vorhanden), die Verarbeitungszwecke und die Rechtsgrundlage, über etwaige berechtigte Interessen, über den Empfänger bei Übermittlung von Daten und auch über eine etwaige Übermittlung in Drittstaaten zu informieren. Darüber hinaus umfasst die Informationspflicht auch Angaben zur Dauer der Speicherung, den Rechten des Betroffenen, der Widerrufbarkeit von Einwilligungen, dem Beschwerderecht bei der Aufsichtsbehörde sowie die gesetzliche oder vertragliche Verpflichtung personenbezogene Daten bereitzustellen. Zudem ist über eine etwaige automatisierte Entscheidung oder andere Profiling-Maßnahmen zu unterrichten. Entbehrlich ist diese Informationspflicht bei der Direkterhebung nur, wenn der Betroffene bereits über diese Angaben verfügt.
Erfolgt die Erhebung nicht beim Betroffenen, ist dieser innerhalb einer angemessenen Frist, spätestens aber nach einem Monat, bei Verwendung zur Kommunikation jedoch direkt bei Kontaktaufnahme zu informieren. Inhaltlich treffen den Verantwortlichen auch bei dieser Art der Erhebung grundsätzlich die gleichen Informationspflichten. Eine Ausnahme bildet dabei nur die Information über die Verpflichtung zur Bereitstellung, da der Verantwortliche nicht selbst über diese entscheiden kann. Zusätzlich trifft ihn die Pflicht darüber zu informieren, aus welcher Quelle die Daten stammen und ob es sich dabei um eine öffentlich zugängliche handelt. Den Informationspflichten ist in präziser, transparenter, verständlicher und leicht zugänglicher Form nachzukommen. Dabei können sie schriftlich oder in elektronischer Form an den Betroffenen übermittelt werden. Es wird explizit erwähnt, dass dafür auch sog. standardisierte Bildsymbole verwendet werden können, um in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln.
Im Falle, dass die personenbezogenen Daten nicht beim Betroffenen erhoben werden, muss in Ausnahmefällen der Informationspflicht nicht nachgekommen werden. Etwa wenn dies unmöglich oder unverhältnismäßig aufwendig ist, die Erhebung und/oder Übermittlung gesetzlich vorgeschrieben ist oder ein Berufsgeheimnis oder eine sonstige satzungsmäßige Geheimhaltungspflicht besteht.
DSGVO – Auskunftsrecht der betroffenen Person
Das Auskunftsrecht spielt eine ganz zentrale Rolle in der Datenschutz-Grundverordnung. Einerseits, da das Auskunftsrecht es der betroffenen Person erst ermöglicht, weitere Rechte (z.B. Berichtigung, Löschung) geltend zu machen. Andererseits, da eine unterlassene oder nicht vollständige Auskunft bußgeldbewehrt ist.
Die Beantwortung des Auskunftsbegehrens umfasst zwei Stufen. Zunächst muss der Verantwortliche prüfen, ob überhaupt personenbezogene Daten des Auskunftsersuchenden verarbeitet werden. Dieser ist in jedem Fall über das positive oder negative Ergebnis zu unterrichten. Sollte die Antwort positiv ausfallen, umfasst die zweite Stufe des Auskunftsrechts eine Bandbreite an Informationen. So umfasst das Auskunftsrecht Angaben über deren Verarbeitungszwecke, der verarbeiteten Kategorie personenbezogener Daten, dem Empfänger bzw. Kategorien von Empfängern, die geplante Speicherdauer bzw. Kriterien für deren Festlegung, Informationen zu den Betroffenenrechten wie Berichtigung, Löschung oder Einschränkung der Verarbeitung, zum Widerspruchsrecht gegen diese Verarbeitung, einen Hinweis auf das Beschwerderecht bei der Aufsichtsbehörde, Angaben zu der Herkunft der Daten, soweit diese nicht bei der Person selbst erhoben wurden und über das etwaige Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling mit aussagekräftigen Informationen über die dabei involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen solcher Verfahren. Zu guter Letzt muss, falls die personenbezogenen Daten in ein unsicheres Drittland übertragen werden, über alle getroffenen, geeigneten Garantien informiert werden.
Die Auskunftserteilung an die betroffene Person kann gem. Art. 12 Abs. 1 Sätze 2 und 3 DSGVO je nach Sachverhalt schriftlich, elektronisch oder mündlich erfolgen. Auskunftserteilungen müssen nach Art. 12 Abs. 3 DSGVO unverzüglich erfolgen, spätestens aber innerhalb eines Monats. Nur in begründeten Ausnahmefällen darf die Monatsfrist überschritten werden. Die Auskunft ist im Regelfall unentgeltlich. Werden darüber hinaus weitere Kopien angefordert, kann ein angemessenes Entgelt verlangt werden, welches sich nach den Verwaltungskosten richtet. Außerdem kann der Verantwortliche im Falle unbegründeter oder exzessiver Anträge durch eine betroffene Person die Auskunftserteilung auch verweigern. Verantwortliche haben zudem das Recht, sofern sie eine große Menge von Informationen über die betroffene Person verarbeiten, dass diese ihr Recht auf Auskunft hinsichtlich Verarbeitungsvorgänge oder Angaben konkretisiert.