Neue Erlaubnistatbestände und Interessenabwägung: Umgehender Handlungsbedarf zur Bußgeldvermeidung

von Dr. Christiane Bierekoven

Die Datenschutzgrundverordnung (DSGVO) regelt die Erlaubnistatbestände zur Verarbeitung personenbezogener Daten neu. Von entscheidender Bedeutung sind dabei die datenschutzrechtlichen Grundprinzipien des Art. 5 sowie die Grundsätze der Rechtmäßigkeit (Art. 6 DSGVO). Anders als bislang rückt die Abwägung zwischen den Unternehmerinteressen einerseits und den Interessen der betroffenen Personen andererseits als grundlegendes Prinzip der Rechtmäßigkeit der Datenverarbeitung stärker in den Vordergrund als nach herkömmlicher Rechtslage. Wichtig ist die Einhaltung dieser Grundsätze v.a. im Hinblick auf die erheblich angehobenen Bußgelder, die bei Verstößen verhängt werden und bis zu 20 Mio. Euro oder 4 Prozent des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres betragen können. Nachfolgend benennen wir die wesentlichen Grundsätze und zeigen auf, wie Unternehmen Bußgelder vermeiden können.

Welche Bedeutung haben die Erlaubnistatbestände nach der DSGVO?

Die DSGVO ist insgesamt in 11 Kapitel unterteilt. Davon enthalten 6 Kapitel Verfahrensvorschriften für die Datenschutzaufsichtsbehörden, einschließlich der Regelungen für Sanktionen sowie Vorschriften für besondere Verarbeitungssituationen oder sog. delegierte Rechts- und Durchführungsakte. 5 Kapitel regeln die Pflichten der Verantwortlichen, d. h. der Unternehmen, die personenbezogene Daten verarbeiten, und die Rechte der betroffenen Personen. Hierzu zählen neben den Datenschutzpflichten inbegriffen der Erfüllung von Auskunftspflichten der betroffenen Personen und Transparenzauskünften bei Datenverarbeitungsprozessen auch die Datenschutzfolgeabschätzung und die Nutzung von genehmigten Verhaltensregeln sowie Zertifizierung. Dabei liegen diesen Rechten und Pflichten die Grundsätze der Rechtsmäßigkeit der Datenverarbeitung nach Art. 5,6 DSGVO zugrunde, die daher von besonderer Bedeutung sind.

Welche Grundsätze der Datenverarbeitung gibt es?

In Art. 5 Abs. 1 DSGVO werden die Grundsätze der Datenverarbeitung wie folgt aufgeführt:

Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
Zweckbindung
Datenminimierung
Richtigkeit
Speicherbegrenzung
Integrität und Vertraulichkeit

Der Verantwortliche muss die Einhaltung der Grundsätze im Rahmen der sog. Rechenschaftspflicht nachweisen (Art. 5 Abs. 2 DSGVO). Das bedeutet nach Erwägungsgrund 74 DSGVO, dass jedes Unternehmen geeignete und wirksame Maßnahmen treffen und nachweisen muss, dass die genannten Grundsätze eingehalten werden. Hierzu gehört auch der Nachweis der Wirksamkeit dieser Maßnahmen. Bei deren Festlegung spielt die Interessenabwägung eine wesentliche Rolle, denn Art, Umfang, Umstände und Zweck der Verarbeitung sind gegen das Risiko dieser Verarbeitung für die Rechte und Freiheiten der betroffenen Personen abzuwägen. Das Ergebnis der Abwägung ist bei der Auswahl der Maßnahmen zu berücksichtigen.

Was bedeutet das für die Umsetzung in der Praxis?

In einem ersten Schritt müssen Unternehmen ihre Datenverarbeitungsprozesse analysieren und dabei im Einzelnen feststellen, welche Arten personenbezogener Daten in welchem Umfang, in welchen Umständen und für welche Zwecke verarbeitet werden. Ist bereits ein Verfahrensverzeichnis nach § 4 g Abs. 2 S. 1 BDSG vorhanden, kann auf dieses zurückgegriffen werden, es muss jedoch auf Vollständigkeit überprüft werden. Sodann ist zu analysieren, welche Risiken mit der konkreten Art der Verarbeitung dieser personenbezogenen Daten für die betroffenen Personen verbunden sind. Solche Risiken sind insbesondere

physische/materielle/immaterielle Schäden,
Diskriminierung,
Identitätsdiebstahl und -betrug,
finanzielle Verluste,
Rufschädigung und
Verlust der Vertraulichkeit bei Berufsgeheimnisträgern, wenn diese zu erheblichen wirtschaftlichen/gesellschaftlichen Nachteilen führen kann.

In einem nächsten Schritt müssen Unternehmen die Maßnahmen identifizieren, die geeignet sind, um die Risiken zu minimieren bzw. zu vermeiden. Hierzu gehören auch Maßnahmen durch Technikgestaltung (Privacy-by-Design) und datenschutzfreundliche Voreinstellungen (Privacy-by-Default), Art. 25 DSGVO, sowie das Ergreifen technisch organisatorischer Maßnahmen, Art. 32 DSGVO, oder die Einhaltung von genehmigten Verhaltensregeln und Zertifizierungen, Art. 40, 41 DSGVO. Fehlen entsprechende Maßnahmen, besteht Handlungsbedarf.

Welche Bedeutung haben die Maßnahmen für Unternehmen?

Die Maßnahmen haben erhebliche Bedeutung im Rahmen der eingangs angesprochenen Bußgeldverfahren. Nach Art. 83 Abs. 2 c DSGVO werden bei der Beurteilung der Schwere des Verstoßes und der Festlegung der Höhe der Geldbußen die Maßnahmen zur Minderung von Schäden für die betroffenen Personen ebenso berücksichtigt wie die Maßnahmen nach Art. 25, 32 DSGVO oder die Einhaltung von genehmigten Verhaltensregelungen oder Zertifizierungsverfahren (Art. 83 Abs. 1 j DSGVO).

Welche Grundsätze müssen Unternehmen weiter beachten?

Die zentralen Regelungen für die Rechtmäßigkeit der Datenverarbeitung enthält Art. 6 DSGVO. Danach ist die Verarbeitung nur rechtmäßig, wenn

die betroffene Person eingewilligt hat,
sie für die Erfüllung eines Vertrages oder vorvertraglichen Vertragsverhältnisses erforderlich ist oder
sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist oder
zum Schutz lebenswichtiger Interessen oder
für die Wahrnehmung einer Aufgabe im öffentlichen Interesse oder
zur Wahrung der berechtigten Interessen des Unternehmens, wenn nicht die Interessen, Grundrechte oder Grundfreiheiten der betroffenen Personen überwiegen.

Wesentlich ist sodann, dass als berechtigte Interessen des Unternehmens nach Erwägungsgrund 47 S. 7 DSGVO auch die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung angesehen werden kann. Dass spielt für die Zulässigkeit der Datenverarbeitung im Werbebereich eine wesentliche Rolle.

Wichtig ist außerdem, dass eine Änderung des Verarbeitungszweckes nach der ursprünglichen Ersterhebung besonderen Anforderungen unterliegt, was im Zusammenhang mit Big Data-Anwendungen zu beachten ist.

Wie können diese Vorgaben in der Praxis umgesetzt werden?

Im Zuge der bereits angesprochenen Analyse der Datenverarbeitungsprozesse sind neben der Art der erhobenen Daten und dem Verarbeitungsumfang ebenso die Datenverarbeitungszwecke zu analysieren. Dabei ist zu prüfen, ob sämtliche Zwecke der Verarbeitung personenbezogener Daten, die das Unternehmen durchzuführen beabsichtigt, erfasst sind oder nicht. Ist das nicht der Fall, besteht Handlungsbedarf.

Fazit

Als erste wesentliche Schritte zur Vermeidung erheblicher Bußgelder sollten Unternehmen ihre Datenverarbeitungsprozesse zügig analysieren, die Art der verarbeiteten Daten und die Zwecke der Verarbeitung feststellen sowie weiter prüfen, welche Risiken für die Freiheiten der betroffenen Personen bestehen. Hierbei kann auf bestehende Verfahrensverzeichnisse zurückgegriffen werden, die jedoch ggf. zu ergänzen sind. Bei vielen ist eine neue Analyse durchzuführen. Anschließend sind Maßnahmen zum Schutz der Daten zu prüfen und ggf. zu ergreifen. Werden diese Schritte unterlassen, können erhebliche Bußgelder drohen. Da die Analysen und die Implementierung der erforderlichen technischen und organisatorischen Maßnahmen aufwendig werden können, ist umgehendes Handeln dringend geboten. Zum 25. Mai 2018 muss die Umsetzung erfolgt sein.

zuletzt aktualisiert am 10.08.2016