In unserem ausführlichen DSGVO-Guide geben wir Unternehmen praktische Hilfsmittel für die Umsetzung des Datenschutzrechts an die Hand. Neben vielen Tipps finden Sie bei uns auch Links zu Generatoren, Mustervorlagen und vertiefenden Artikeln.
Rechtsanwalt Niklas Plutte
Fachanwalt für gewerblichen Rechtsschutz
Rechtsanwalt Oliver Wolf, LL.M.
Fachanwalt für Urheber- und Medienrecht
Benötigen Sie Rechtsberatung durch einen Anwalt für Datenschutzrecht? Nutzen Sie unsere kostenlose Erstberatung.
Inhaltsverzeichnis
I. Wichtige Grundbegriffe
1. Personenbezogene Daten
2. Automatisierte Verarbeitung
3. Ausnahmen von der DSGVO-Anwendbarkeit
4. Beteiligte am Datenverarbeitungsprozess
II. DSGVO-Checkliste für Unternehmen
1. Rechtmäßige Datenverarbeitung
a) Erfassen aller Datenverarbeitungsvorgänge
b) Rechtsgrundlagen festlegen
c) Einwilligungen kontrollieren und wenn nötig neu einholen
d) Datenschutzfreundliche Technikgestaltung & Voreinstellungen, Datenminimierung
e) Datenschutzfolgeabschätzungen
2. Informationspflichten: Datenschutzerklärungen/Datenschutzhinweise
3. Datenschutzbeauftragter
a. Pflicht zur Ernennung eines Datenschutzbeauftragten
b. Persönliche Voraussetzungen eines Datenschutzbeauftragten
c. Stellung des Datenschutzbeauftragten
4. Betroffenenrechte
a) Auskunft
b) Berichtigung
c) Löschung
d) Vergessenwerden
e) Einschränkung der Verarbeitung
f) Datenübertragbarkeit
g) Widerspruch
h) Schadensersatz
i) Unterlassung
j) Ersatz von Anwaltskosten
5. Auftragsverarbeitung
6. Datentransfer
7. Datensicherheit
a) Technische und organisatorische Maßnahmen
b) Reaktionsmechanismen bei Datenverletzungen: Meldepflicht
8. Dokumentation (Datenschutzkonzept)
a) Dokumentieren Sie alle relevanten Maßnahmen
b) Datenverarbeitungsverzeichnis
c) Optional: Zusammenfassung der Dokumentationen als Datenschutzkonzept
d) Besondere Dokumentationspflichten
9. Schulung und Verpflichtung von Beschäftigten
10. Bußgelder bei DSGVO-Verstößen
11. Gerichtliche Zuständigkeiten
Hinweis: Unsere DSGVO Checkliste geht von einem Unternehmen aus, in dem noch keine Datenschutzvorgaben umgesetzt wurden. Sie eignet sich aber ebenso gut zur Kontrolle und ggf. Ergänzung bereits umgesetzter Datenschutzkonzepte. Dieser Beitrag wurde nach bestem Wissen und Gewissen so zusammengestellt, dass Sie bei Umsetzung unserer Empfehlungen auf der sicheren Seite sind. Die Datenschutzgrundverordnung ist allerdings noch jung. Bei manchen Vorschriften ist unklar, wie sie zu verstehen sind. Offene Fragen wird die Rechtsprechung erst nach und nach beantworten. Daher können wir nicht versprechen, dass unsere Empfehlungen zu 100%iger Datenschutzkonformität führen. Nutzen Sie bei Fragen unsere kostenlose Ersteinschätzung.
I. Wichtige Grundbegriffe
Bevor Sie unsere Checkliste durcharbeiten, sollten Ihnen einige Grundbegriffe zum Datenschutzrecht bekannt sein, die wir nachfolgend kurz erläutern.
1. Personenbezogene Daten
Die DSGVO dient dem Schutz personenbezogener Daten. Gemeint sind alle Informationen, die sich auf eine bestimmte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Nach dieser Definition und der Rechtsprechung des EuGH ist der Begriff weit zu verstehen. Erfasst alle Informationen, die irgendwie einem bestimmten Menschen zugeordnet werden können, ggf. auch erst mithilfe Dritter.
Der Begriff der personenbezogenen Daten ist nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen unter der Voraussetzung, dass es sich um Informationen über die in Rede stehende Person handelt. Die letztgenannte Voraussetzung ist erfüllt, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist (OLG München, Endurteil vom 04.10.2021, Az. 3 U 2906/20).
Personenbezogene Daten sind neben äußeren Merkmalen wie zum Beispiel der Augenfarbe auch innere Zustände (z.B. Meinungen und Handlungsmotive) sowie Beziehungen zu Dritten und der Umwelt (z.B. Verträge, Chatverläufe). Diese Daten sind selbst dann personenbezogen, wenn sie im Internet nur einem Pseudonym (= Nutzernamen) zugeordnet werden können, weil mithilfe des Internetproviders die wirkliche Identität des Nutzers herausgefunden werden kann. Daher sind auch IP-Adressen als personenbezogene Daten einzustufen (vgl. Kühling/Buchner/Klar, DSGVO Kommentar, Art. 4 Nr. 1 Rn. 28). Einer natürlichen Person zugeordnete Wahrscheinlichkeitsaussagen sind als personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO zu qualifizieren (öVerwaltungsgerichtshof (VwGH), Erkenntnis vom 17.05.2024, Az. Ra 2023/04/0005).
Weitere Beispiele:
- Name (Vorname, Nachname), sofern eine Person hierüber sicher identifiziert werden kann. Bei Namensgleichheit mehrerer Personen wird der Personenbezug ggf. über weitere Zusatzinformationen hergestellt, die eine konkrete Verbindung zu einer der von einer Namensgleichheit betroffenen Personen begründen. Eine solche Verbindung liegt vor, wenn die Person entweder direkt über die Information identifiziert wird oder durch Hinzuziehung weiterer Informationen oder Zwischenschritte jedenfalls identifizierbar ist, z.B. weil neben dem Namen auch Geburtsdatum und Wohnanschrift gespeichert sind (OLG Dresden, Urteil vom 14.10.2021, Az. 4 U 1278/21).
- Künstlername
- Geburtsdatum (OVG Lüneburg, Beschluss vom 23.01.2024, Az. 14 LA 1/24)
- Augenfarbe
- (Praxis-) Anschrift, wobei eine pure Adresse kein personenbezogenes Datum darstellt. Denn die bloße Adresse ohne Bezugnahme auf eine Person – sei es durch namentliche Nennung, sei es durch die Bezugnahme auf ein diese Adresse betreffendes Eigentums-, Besitz- oder Mietverhältnis o.ä. – stellt keinen hinreichenden Personenbezug dar (LG Berlin, Urteil vom 27.01.2022, Az. 26 O 177/21)
- Fachrichtung eines Arztes (BGH, Urteil vom 15.02.2022, Az. VI ZR 692/20)
- Religion
- Telefonnummer
- Telefaxnummer
- E-Mailadresse
- Geburtsdatum
- Zahlungsdaten
- Fotos mit erkennbarer Person / Personen
- Elektronische Einwilligungen
- IP-Adresse (un)gekürzt
- Usernamen
- Chatverläufe
- Standortdaten
- Kennnummer
- Online-Identifier
- Zugeordnete Cookies
- Individuelle Vermerke zum Kunden (z.B. Zahlungsmoral)
Auch pseudonyme Informationen werden als personenbezogene Daten eingestuft werden, weil sie zwar nicht direkt, aber durch eine Transferleistung einer natürlichen Person zugeordnet werden können.
Ausgenommen vom Anwendungsbereich der DSGVO sind anonyme Informationen, die keiner Person zugeordnet werden können.
Die DSGVO unterscheidet grundsätzlich nicht nach Wert oder Art der Daten. Es gibt kein belangloses Datum (vgl. Kühling/Buchner/Klar, DSGVO Kommentar, Art. 4 Nr. 1 Rn. 9). Einzige Ausnahme, bei der es auf die Art des Datums ankommt, sind die besonderen Kategorien personenbezogener Daten nach Art. 9 und 10 DSGVO. Für deren Verarbeitung gelten schärfere Voraussetzungen.
2. Automatisierte Verarbeitung
Die DSGVO ist zu beachten, wenn eine automatisierte Verarbeitung personenbezogener Daten stattfindet oder wenn solche Daten bei einer nichtautomatisierten Verarbeitung in Dateisystemen gespeichert werden oder gespeichert werden sollen (Art. 2 Abs. 1 DSGVO).
Als Verarbeitung definiert Art. 4 Nr. 2 DSGVO
„jeden (…) Vorgang (…) im Zusammenhang mit personenbezogenen Daten“
und nennt zahlreiche Beispiele, z.B. die Erhebung, Speicherung, Verwendung oder Übermittlung personenbezogener Daten. Weitere Beispiele aus der Rechtsprechung:
- Offenlegung personenbezogener Daten durch Übermittlung per E-Mail. Der Begriff „Offenlegung“ erfasst alle Vorgänge, durch die der Verantwortliche personenbezogene Daten anderen Stellen in der Weise zugänglich macht, dass diese Kenntnis vom Informationsgehalt der betreffenden Daten erlangen können (LG Frankfurt, Urteil vom 01.11.2021, Az. 2-1 S 191/20, hier bejaht für Versand einer Rundmail).
- Physische Zerstörung einer Festplatte, die personenbezogene Daten des Betroffenen enthält (OLG Dresden, Urteil vom 31.08.2021, Az. 4 U 324/21).
- Eine auch nur mündliche Auskunftserteilung (einer Behörde) – hier über möglicherweise anhängige oder abgeschlossene Strafverfahren gegen eine natürliche Person – stellt grundsätzlich eine Verarbeitung personenbezogener Daten im Sinne von Art. 4 Nr. 2 DSGVO dar. Anderenfalls könnten die Schutzmechanismen der DSGVO durch eine nur mündliche Auskunftserteilung umgangen werden, wobei die Eingriffsintensität gleich bliebe. Zudem stellt die mündliche Übermittlung als solche eine nichtautomatisierte Verarbeitung iSd Art. 2 Abs. 1 DSGVO dar, sodass die Informationen schon vor der Auskunft in einem Dateisystem gespeichert sein oder nach der mündlichen Auskunftserteilung in einem solchen gespeichert werden müssen. Andernfalls wäre der sachliche Anwendungsbereich der DSGVO nicht eröffnet (EuGH, Urteil vom 07.03.2024, Az. C‑740/22 – Endemol Shine Finland Oy).
Eine Differenzierung zwischen den verschiedenen Arten der Datenverarbeitung ist für die Anwendbarkeit der DSGVO im Ergebnis nicht nötig.
Automatisiert ist die Datenverarbeitung, wenn eine Datenverarbeitungsanlage zum Einsatz kommt, also insbesondere ein Computer oder sonstiges elektronisches Speichersystem. Für handschriftliche Notizen gilt die DSGVO dagegen nicht. Aber Vorsicht: werden handschriftliche Notizen in einem Akten- oder Archivsystem erfasst, gilt die DSGVO doch. Daneben gibt es einige prominente Streitfälle, die in der Rechtswissenschaft diskutiert werden (Beispiel: Anfertigen von Klingelschildern durch den Vermieter).
3. Ausnahmen von der DSGVO-Anwendbarkeit
Ausgenommen von der DSGVO (aber für Firmen kaum relevant) sind nach dem in Art. 2 Abs. 2 c) DSGVO geregelten Haushaltsprivileg Datenverarbeitungen durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten. Persönliche Tätigkeiten in diesem Sinne sind Tätigkeiten, die der eigenen Selbstentfaltung und Freiheitsausübung in der Freizeit oder im privaten Raum – also zu persönlichen Zwecken – dienen und auf einen abgegrenzten Privatbereich des Verarbeiters beschränkt sind. Sobald der Datenumgang im Rahmen einer wirtschaftlichen oder geschäftlichen Tätigkeit erfolgt, ist Art. 2 Abs. 2 c) DSGVO nicht mehr anwendbar. Der Wortlaut der Norm ist nämlich sehr eng, indem er eine Verwendung „ausschließlich“ zu privaten oder familiären Zwecken verlangt und damit bereits eine gemischte Datensammlung von privaten als auch geschäftlichen Kontakte ausschließt (vgl. LG Frankfurt, Urteil vom 01.11.2021, Az. 2-01 S 191/20).
Besonderheiten gelten auch für die Presse. Wegen Art. 85 DSGVO bestehen für Presseunternehmen und deren Hilfsunternehmen über die Landespressegesetze bzw. Landesdatenschutzgesetze bei der Erhebung und Verarbeitung von personenbezogenen Daten kaum Datenschutzvorgaben (sog. „Medienprivileg“, vgl. BGH, Urteil vom 15.02.2022, Az. VI ZR 692/20 mit Bezug auf Art. 38 BayDSG). Ob das größtenteils undifferenzierte Medienprivileg hierzulande Bestand hat, wird sich zeigen.
- Werden personenbezogene Daten in einem Blogbeitrag veröffentlicht (im Fall betrieben von einem Rechts-Journalisten), soll das Medienprivileg greifen mit der Folge, dass kein Anspruch auf DSGVO-Schadensersatz besteht (Kammergericht, Beschluss von 17.03.2023, Az. 10 O 146/22; Bestätigung von: LG Berlin, Urteil vom 22.09.2022, Az. 27 O 30/21, beide hier im Volltext abrufbar).
- Der österreichische Verfassungsgerichtshof entschied, dass es verfassungswidrig sei, Datenverarbeitungen durch Medienunternehmen, die zu journalistischen Zwecken erfolgen, gänzlich von den Bestimmungen des Datenschutzgesetzes auszunehmen, da dies gegen das Grundrecht auf Datenschutz verstoße (Österreichischer Verfassungsgerichtshof, Beschluss vom 14.12.2022, Az. G 287-288/2022).
In Bezug auf das Recht am eigenen Bild haben wir eigenständige FAQ zur Rechtslage unter Geltung der DSGVO bzw. dem KUG verfasst.
Abgesehen von den beschriebenen Ausnahmen fällt für Unternehmen praktisch jeder Umgang mit personenbezogenen Daten unter die DSGVO. Wer auf der sicheren Seite sein möchte, sollte im Zweifel stets von einer Anwendbarkeit der DSGVO ausgehen.
4. Beteiligte am Datenverarbeitungsprozess
Der Begriff der personenbezogenen Daten beinhaltet, dass eine Person existieren muss, der die Daten zuzuordnen sind. Dabei muss es sich um einen Mensch handeln, der von der DSGVO betroffene Person oder kurz „Betroffener“ genannt wird.
Rechte aus der DSGVO stehen allein natürlichen Personen zu, juristische Personen sind nicht anspruchsberechtigt (vgl. BGH, Urteil vom 09.08.2022, Az. VI ZR 1244/20 Rdnr. 12; OLG Dresden, Urteil vom 14.03.2023, Az. 4 U 1377/22; BFH, Urteil vom 08.02.2024, Az. IX B 113/22). Werden im Zuge der Verarbeitung von Firmendaten auch (begleitend) personenbezogene Daten verarbeitet – etwa des Geschäftsführers einer GmbH – kann dies keine DSGVO-Ansprüche zu Gunsten des Unternehmens begründen, sondern allenfalls solche zu Gunsten der dahinterstehenden Person, in unserem Beispiel des Geschäftsführers (falsch beurteilt von LG Hamburg, Urteil vom 11.12.2020, Az. 324 O 30/20). Ein Insolvenzverwalter ist hinsichtlich der beim Finanzamt gespeicherten personenbezogenen Daten des Insolvenzschuldners nicht Betroffener i.S.v. Art 15 Abs. 1 DSGVO (OVG Bremen, Beschluss vom 10.01.2023, Az. 1 LA 420/21). Bei einer Wohnungseigentümergemeinschaft müssen Schadensersatzansprüche nach der DSGVO nicht von der Gemeinschaft geltend gemacht werden. Auch einzelne Beteiligte der Wohnungseigentümergemeinschaft können Schadensersatz fordern (LG Frankfurt, Beschluss 10.05.2023, Az. 2-13 T 33/23).
Auf der „Gegenseite“ gibt es wiederum immer jemand, der die Verarbeitung der personenbezogenen Daten durchführt oder deren Verarbeitung zumindest in Auftrag gegeben hat. Dies ist der Verantwortliche, der alleine oder gemeinsam mit anderen Verantwortlichen über die Zwecke und Mittel der Verarbeitung entscheidet (Art. 4 Nr. 7 DSGVO). An ihn richten sich die meisten Vorschriften der DSGVO, die bei der Datenverarbeitung beachtet werden müssen.
Der Geschäftsführer einer GmbH ist neben der Gesellschaft „Verantwortlicher“ im Sinne der DSVGO (OLG Dresden, Urteil vom 30.11.2021, Az. 4 U 1158/21).
Der Verantwortliche muss die Datenverarbeitung nicht unbedingt selbst ausführen, sondern kann einen Auftragsverarbeiter damit beauftragen (Art. 4 Nr. 8 DSGVO). Auch der Auftragsverarbeiter unterliegt weitreichenden Verpflichtungen der DSGVO, oftmals denselben wie der Verantwortliche. Das entscheidende Abgrenzungsmerkmal des Auftragsverarbeiters ist, dass er den Weisungen des Verantwortlichen unterliegt, also selbst nicht über die Datenverarbeitung entscheidet, sondern diese nur für den Verantwortlichen durchführt (vgl. Kühling/Buchner/Hartung, DSGVO Kommentar, Art. 4 Nr. 8 Rn. 7).
Unternehmen treten gegenüber ihren Kunden in aller Regel als Verantwortliche auf. Dieser Artikel beleuchtet daher die Pflichten von Unternehmen als Verantwortlichen für die Verarbeitung von personenbezogenen Daten ihrer Kunden, Arbeitnehmer und sonstigen Dritten.
Überblick: Die DSGVO gilt
- für Verantwortliche und deren Auftragsverarbeiter, die
- personenbezogene Daten
- automatisiert verarbeiten (Hauptfall) oder nicht-automatisiert verarbeiten durch Speicherung in Dateisystemen (Sonderfall),
- sofern die Anwendbarkeit der DSGVO nicht ausnahmsweise ausgeschlossen ist.
II. DSGVO-Checkliste für Unternehmen
Im Folgenden finden Sie eine Checkliste der umsetzungsbedürftigen DSGVO-Anforderungen, jeweils mit einer kurzen Erläuterung der Anforderung und konkreten Handlungshinweisen. Für weitergehende Informationen zu den einzelnen Themen verweisen wir auf vertiefende Artikel, Links zu Generatoren und Mustervorlagen, die Ihnen die Umsetzung erleichtern werden.
Eine wesentliche Neuerung der DSGVO ist die umfassende Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO. Unterstellt die Datenschutzaufsichtsbehörde einem Unternehmen Datenschutzverstöße, muss das Unternehmen nachweisen, dass es die betroffenen personenbezogenen Daten rechtskonform verarbeitet und nicht umgekehrt (siehe auch Punkt 8 unserer Checkliste). Dokumentieren Sie daher die Umsetzung unserer Checkliste.
1. Rechtmäßige Datenverarbeitung
Der erste Schritt hin zu einem datenschutzkonformen Unternehmen ist es, sicherzustellen, dass alle Datenverarbeitungsvorgänge im Unternehmen rechtmäßig durchgeführt werden. Dies lässt sich systematisch in fünf Schritten gewährleisten.
a) Erfassen aller Datenverarbeitungsvorgänge
Ausgangspunkt ist die Frage, wo in Ihrem Unternehmen DSGVO-relevante Daten verarbeitet werden. Ein Datenschutzverarbeitungsvorgang ist im Ergebnis jeder Umgang mit personenbezogenen Daten. Verschaffen Sie sich daher zu Beginn einen Überblick über die verschiedenen Verarbeitungstätigkeiten in Ihrem Unternehmen.
Als Unternehmer werden Sie vor allem Daten von zwei verschiedenen Personengruppen verarbeiten:
- Kunden/Geschäftspartner (z.B. Erhebung von Kontakt- und Kontodaten, Übermittlung an Partnerunternehmen, Speichern von Einkaufsverhalten).
- Beschäftigte, insbesondere Arbeitnehmer (z.B. Erhebung von Kontakt- und Kontodaten, Speichern und Organisieren von Arbeitszeiten und Arbeitserträgen, Anfertigen und Veröffentlichen von Fotos auf der Firmenwebsite).
- Auch Bewerber, Websitebesucher und sonstige Dritte können von Datenverarbeitungen betroffen sein.
Naturgemäß gibt es je nach Unternehmen und Geschäftsfeld unzählige denkbare Verarbeitungsmöglichkeiten. Beachten Sie insbesondere, dass ein einheitlicher Lebensvorgang oft mehrere Datenverarbeitungsvorgänge enthält. Geben Sie beispielsweise die von einem Kunden diktierten Kontaktdaten in einen Computer ein, liegt gleichzeitig eine Erhebung und Speicherung der Daten vor.
Überblick: Beispiele für typische Verarbeitungstätigkeiten in Unternehmen
Kunden/Geschäftspartner:
- Vertragsdatenmanagement (Beispiele für betroffene Daten: Kontaktdaten, Kontodaten, bisher abgewickelte Einzelkäufe oder -dienstleistungen, Rechnungen)
- Auswertung des Kaufverhaltens (Beispiele für betroffene Daten: Besuche der Webseite, IP-Adressen, angesehene Produkte, gekaufte Produkte, Kaufmodalitäten, Kaufkategorien)
- Newsletter (Beispiele für betroffene Daten: E-Mailadresse, Name)
- Gewinnspiele (Beispiele für betroffene Daten: Name, Kontaktdaten)
Beschäftigte
- Lohnabrechnung (Beispiele für betroffene Daten: Name, Geburtsdatum, Kontaktdaten, Bankverbindung, Gehalt, Arbeitszeiten etc.)
- Arbeitszeiterfassung (Beispiele für betroffene Daten: Name, genaue Arbeitszeit, Arbeitsverhalten etc.)
☐ Notieren Sie in einem Verarbeitungsverzeichnis alle Datenverarbeitungsvorgänge, die in Ihrem Unternehmen stattfinden. Benennen Sie, welche personenbezogenen Daten verarbeitet werden und wie diese Daten verarbeitet werden.
b) Rechtsgrundlagen festlegen
Wenn Sie einen Überblick über alle Datenverarbeitungsvorgänge in Ihrem Unternehmen gewonnen haben, müssen Sie festlegen, auf welcher Rechtsgrundlage die Datenverarbeitung erfolgt. Dabei gelten für die Daten von Beschäftigten andere Grundsätze als für die Daten sonstiger Personen.
Daten von Beschäftigten
Die Verarbeitung von Beschäftigtendaten des eigenen Unternehmens richtet sich vorrangig nach § 26 BDSG und in erster Linie nicht nach der DSGVO. Das liegt daran, dass der europäische Gesetzgeber die Regelung dieses Gebiets weitgehend den Mitgliedstaaten überlassen hat (Art. 88 DSGVO).
Die Verarbeitung von personenbezogenen Daten der Beschäftigten ist insbesondere in drei Fällen zulässig:
- Die Datenverarbeitung ist zur Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich (§ 26 Abs. 1 S. 1 BDSG). Diese Ermächtigungsgrundlage wird in den meisten Fällen einschlägig sein, weil darüber alle gängigen Maßnahmen der Mitarbeiterverwaltung erfasst sind.
- Zur Aufdeckung von Straftaten, deren der Beschäftigte verdächtigt wird (§ 26 Abs. 1 S. 2 BDSG).
- Es liegt eine Einwilligung des Beschäftigten vor (§ 26 Abs. 2 BDSG, Art. 4 Nr. 11 DSGVO). Eine Einwilligung ist für Datenverarbeitungen erforderlich, die nicht unmittelbar Gegenstand des Beschäftigtenverhältnisses sind, zum Beispiel das Hochladen von Fotos des Beschäftigten auf die Firmenwebsite.
- Soweit § 26 BDSG keine besondere Regelung trifft, können die Regeln der DSGVO zu den sonstigen Daten anwendbar sein (so die Datenschutzkonferenz der Datenschutzbehörden).
Weitere Informationen zum Beschäftigtendatenschutz finden Sie in diesem Kurzpapier der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK).
Sonstige Daten, insbesondere von Kunden
Die Verarbeitung von allen anderen Daten ist in der DSGVO geregelt. Nach der DSGVO ist die Verarbeitung von personenbezogenen Daten grundsätzlich untersagt, es sei denn, dass ein Erlaubnistatbestand eingreift (sog. Verbotsprinzip). Die allgemeinen Erlaubnistatbestände sind in Art. 6 DSGVO geregelt.
Eine Datenverarbeitung ist nur rechtmäßig, wenn mindestens ein Erlaubnistatbestand aus Art. 6 DSGVO einschlägig ist. Für die Datenverarbeitung im Unternehmen sind vor allem folgende Erlaubnistatbestände relevant:
- Es liegt eine Einwilligung der betroffenen Person zur konkreten Verarbeitung ihrer personenbezogenen Daten vor (Art. 6 Abs. 1 S. 1 lit. a DSGVO), , dazu näher unter c).
- Die Verarbeitung ist zur Erfüllung eines Vertrags mit der betroffenen Person oder zur Durchführung vorvertraglicher, von der betroffenen Person beantragter Maßnahmen erforderlich (Art. 6 Abs. 1 S. 1 lit. b DSGVO). Es geht hier um Fälle, in denen die Daten verarbeitet werden müssen, damit die vertraglich vereinbarte Leistung in der verabredeten Form erbracht werden kann.
- Der Verantwortliche ist zur Datenverarbeitung verpflichtet (Art. 6 Abs. 1 S. 1 lit. c DSGVO). Wenn das Gesetz den Verantwortlichen verpflichtet, bestimmte Daten in einer Art zu verarbeiten, muss diese Verarbeitung sinnhafterweise auch rechtmäßig sein.
- Das berechtigte Interesse des Verantwortlichen an der Datenverarbeitung überwiegt die Interessen und Rechte der betroffenen Person (Art. 6 Abs. 1 S. 1 lit. f DSGVO). Hier ist eine Interessenabwägung erforderlich. Es geht vor allem um Datenverarbeitungen, die für die betroffene Person erwartbar waren und ihr keine großen Nachteile verursachen, sondern ihr sogar auch einen Mehrwert bieten.
- Darüber hinaus lässt die DSGVO eine Datenverarbeitung auch zu, wenn dies zum Schutz lebenswichtiger Interessen oder zur Wahrnehmung öffentlicher Aufgaben erforderlich ist (Art. 6 Abs. 1 S. 1 lit. d und e). Diese Tatbestände spielen für Unternehmer in aller Regel aber keine Rolle.
Tipp: Die Einwilligung wird traditionell als Allheilmittel des Datenschutzrechts angesehen. Abgesehen davon, dass für die Erteilung der Einwilligung strenge Anforderungen gelten, kann das Einholen einer Einwilligung sogar rechtswidrig sein, wenn sie für den konkreten Verarbeitungsvorgang nicht erforderlich ist. Weiterer Nachteil einer Einwilligung ist, dass sie jederzeit widerrufen werden kann. Daher empfiehlt es sich, die Datenverarbeitung nach Möglichkeit auf einen anderen gesetzlichen Erlaubnistatbestand zu stützen und nur als letztes Mittel auf Einwilligungen zurückzugreifen.
Je nach Art der verarbeiteten Daten („Was“ wird verarbeitet?) oder der Art der Datenverarbeitung („Wie“ wird verarbeitet?) müssen zusätzliche oder schärfere Voraussetzungen erfüllt werden:
- bei besonderen Kategorien personenbezogener Daten (besonders sensible Daten, u.a. über die Gesundheit, die Sexualität oder die politische Einstellung) nach Art. 9 DSGVO.
- bei der Erhebung von Daten müssen die Zwecke, zu denen die Daten erhoben werden, eindeutig festgelegt werden (sog. Zweckbindung, Art. 5 Abs. 1 lit. b DSGVO).
- bei automatisierten Entscheidungen im Einzelfall, insbesondere Profiling (Art. 22 DSGVO).
- wenn die Daten zu einem anderen Zweck verarbeitet werden, als zu dem sie erhoben wurden (Zweckänderung, Art. 6 Abs. 4 DSGVO). Eine Zweckänderung ist nur zulässig, wenn der neue Zweck mit dem ursprünglichen Zweck vereinbar ist. Dies bestimmt sich insbesondere danach, ob die betroffene Person mit der Zweckänderung rechnen musste (siehe Erwägungsgrund 50 Satz 6 DSGVO).
- bei einer Videoüberwachung im öffentlichen Raum (§ 4 BDSG). Hier ist im Ergebnis auch eine Abwägung zwischen dem Interesse an der Überwachung und dem entgegenstehenden Interesse der betroffenen Personen erforderlich.
Weiterführende Links:
Überblick und Beispiele: Rechtsgrundlage für Datenverarbeitung
von Beschäftigten:
- erforderlich zur Durchführung des Beschäftigungsverhältnisses (z.B. Speichern von Konto- und Kontaktdaten, Weitergabe von Daten an Sozialversicherung, Erfassen von Aktivitäten in digitalen Arbeitsdokumenten etc.),
- dient der Aufdeckung von Straftaten (z.B. Videoüberwachung wegen Verdachts des Diebstahls, Auslesen von elektronischen Arbeitsvorgängen wegen Verdachts der Untreue etc.),
- Einwilligung, jedoch erhöhte Anforderungen an Freiwilligkeit (z.B. Fotos auf der Firmenhomepage, Teilnahme an unternehmensinternem Gewinnspiel etc.),
sonstige Daten, insbesondere Kunden und Geschäftspartner:
- erforderlich zur Vertragserfüllung (z.B. Speichern von Daten für Rechnungsstellung, Weitergabe von Daten an Paketdienst, Erhebung von Körpermaßen bei Modegeschäften etc.)
- gesetzliche Verpflichtung (z.B. steuer- und handelsrechtliche Aufbewahrungsverpflichtungen, Weitergabe von Daten an Strafverfolgungsbehörde etc.)
- überwiegendes berechtigtes Interesse → Abwägung (z.B. Information über Sonderangebote, Verarbeitung mit Google Analytics)
- Einwilligung (z.B. Newsletter, Veröffentlichung von Fotos etc.)
spezielle zusätzliche Regelungen:
- besondere Kategorien personenbezogener Daten (z.B. Sexualität, Gesundheit, Religion etc) → Art. 9 DSGVO
- Erhebung von Daten → Art. 5 Abs. 1 lit. b DSGVO
- automatisierte Entscheidungen (z.B. Profiling im Bewerbungsverfahren, Fingerabdruckscanner für Zugang zu bestimmten Bereichen) → Art. 22 DSGVO
- Zweckänderung (Verwendung von Kundendaten zu Werbezwecken, Weitergabe von Adressen von Beschäftigten an Polizei bei Suizidgefahr) → Art. 6 Abs. 4 DSGVO
- Videoüberwachung im öffentlichen Raum (z.B. Geldautomaten, Kassenbereich von Supermarkt) → § 4 BDSG
☐ Legen Sie die Rechtsgrundlagen für alle Verarbeitungen von personenbezogenen Daten Ihres Unternehmens fest. Prüfen Sie dazu, ob der Zweck der Datenverarbeitung von einem der Erlaubnistatbestände erfasst wird und ob ggf. zusätzliche Voraussetzungen erfüllt werden müssen.
c) Einwilligungen kontrollieren und wenn nötig neu einholen
Falls Ihnen bei der Prüfung eine oder mehrere Datenverarbeitungen aufgefallen sind, die entweder durch keinen Erlaubnistatbestand gedeckt sind oder auf eine Einwilligung gestützt werden, ist Vorsicht geboten. Prüfen Sie zunächst, ob bestehende alte Einwilligungen die Voraussetzungen der DSGVO erfüllen. Wenn dies nicht der Fall ist, müssen Sie die Einwilligungen neu einholen.
Hinweis: Eine Neueinholung von Einwilligungen stellt nicht die erste, sondern letzte Option dar und sollte nach Möglichkeit vermieden werden. Prüfen Sie insbesondere, ob die betroffene Datenverarbeitung auf ein berechtigtes Interesse nach Art. 6 Abs. 1 f) DSGVO gestützt werden kann.
Die Anforderungen an eine wirksame Einwilligung lauten:
- Einwilligungsfähigkeit des Einwilligenden oder Zustimmung eines gesetzlichen Vertreters (Art. 8 DSGVO): Minderjährige dürfen in Deutschland ab 16 Jahren selbst einwilligen, davor bedarf es der Zustimmung der Eltern.
- Freiwilligkeit der Einwilligung (Art. 4 Nr. 11, Art. 7 Abs. 4 DSGVO): Die Einwilligung muss freiwillig erfolgen. Das ist nicht mehr der Fall, wenn der betroffenen Person Nachteile drohen, wenn sie die Einwilligung verweigert, insbesondere, wenn eine vertragliche Leistung von der Einwilligung abhängig gemacht wird (sog. Kopplungsverbot). Der betroffene Person muss eine echte Wahlmöglichkeit erhalten. Besonders hoch sind die Anforderungen bei Einwilligungen von Beschäftigten (§ 26 Abs. 2 BDSG).
- Informiertheit der Einwilligung (Art. 4 Nr. 11 DSGVO): Der Einwilligende muss zumindest wissen, wer der Verantwortliche ist und zu welchen Zwecken seine personenbezogenen Daten verarbeitet werden (siehe Erwägungsgrund 42 Satz 3 DSGVO).
- Bestimmtheit (Art. 6 Abs. 1 S. 1 lit a DSGVO): Die Einwilligung muss sich auf bestimmte Datenverarbeitungen beziehen. Nicht zulässig sind „Blanko-Einwilligungen“.
- Form: Grundsätzlich ist die Einwilligung formfrei und kann auch mündlich oder sogar durch konkludentes Handeln erteilt werden, also schlüssiges Verhalten (vgl. OLG Dresden, Urteil vom 31.08.2021, Az. 4 U 324/21) – Hauptsache, die Erklärung ist unmissverständlich. Weil der Verantwortliche aber beweisen muss, dass eine Einwilligung vorlag, empfiehlt es sich, Einwilligungen nach Möglichkeit in Textform oder Schriftform einzuholen (Art. 7 Abs. 1 DSGVO).
- Widerruf: Die betroffene Person kann die Einwilligung jederzeit widerrufen (Art. 7 Abs. 3 DSGVO). Ab diesem Zeitpunkt dürfen die personenbezogenen Daten nicht mehr verarbeitet werden. Über diesen Umstand muss die betroffene Person vor Erteilung der Einwilligung in Kenntnis gesetzt werden (Art. 7 Abs. 3 S. 3 DSGVO).
Überblick: Checkliste für eine wirksame Einwilligung
I. Einwilligungsfähigkeit: Person mindestens 16 Jahre, sonst Einwilligung der Eltern erforderlich
II. Freiwilligkeit: wirkliche Wahlmöglichkeit, keine materiellen oder auch sozialen Nachteile bei Nichtabgabe, keine Kopplung mit vertraglicher Leistung
III. Informiertheit: Einwilligender kennt Zweck und Verantwortlichen der Datenverarbeitung
IV. Bestimmtheit: keine „Blanko-Einwilligung“, sondern bestimmter Vorgang
V. Form: grundsätzlich keine Vorgaben, aus Nachweiszwecken aber Schriftform zu empfehlen
VI. Widerrufsbelehrung
☐ Kontrollieren Sie Einwilligungen, die auf Basis des BDSG eingeholt wurden, auf Ihre DSGVO-Konformität. Holen Sie falls nötig neue Einwilligungen ein bzw. prüfen Sie, ob ein alternativer Erlaubnistatbestand des Art. 4 DSGVO eingreift.
Tipp: Nutzen Sie hierzu die folgende Mustervorlage (rot = individuell auszufüllen):
Hiermit willige ich, (Name), ein, dass meine folgenden personenbezogenen Daten:
- (Art personenbezogener Daten)
- (Art personenbezogener Daten)
in folgender Weise durch (Verantwortlicher) verarbeitet werden:
- (geplante Verarbeitungsform)
- (geplante Verarbeitungsform)
Die Datenverarbeitung erfolgt zu folgenden Zwecken:
- (Zweck der Verarbeitung)
- (Zweck der Verarbeitung)
Es besteht dabei die Gefahr, dass (ggf. besondere Risiken der Datenverarbeitung, z.B. bei Veröffentlichung).
Ich habe die Einwilligung freiwillig abgegeben und kann sie jederzeit mit Wirkung für die Zukunft widerrufen. Ab diesem Zeitpunkt dürfen meine Daten nicht mehr verarbeitet werden und müssen unverzüglich gelöscht werden. Die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung bleibt unberührt.
Ich kann meine Widerrufserklärung auf dem gleichen Wege an (Verantwortlicher) richten, auf dem ich diese Einwilligung erteile.
(Unterschrift, Ort und Datum)
d) Datenschutzfreundliche Technikgestaltung & Voreinstellungen, Datenminimierung
Die DSGVO verpflichtet Unternehmen, ihre Strukturen so datenschutzfreundlich wie möglich zu organisieren. Dies äußert sich in zwei Anforderungen:
- Datenschutzfreundliche Technikgestaltung und Voreinstellungen (Art. 25 DSGVO): Wenn Sie für Ihre Kunden IT-Dienstleistungen erbringen, müssen Sie bereits bei der Entwicklung dieser Produkte den Datenschutz berücksichtigen. Das äußert sich zum einen darin, dass die verwendete Technik datenschützende Maßnahmen wie eine Pseudonymisierung oder wenn möglich gar Anonymisierung von personenbezogenen Daten umsetzt („Privacy by Design“). Zum anderen muss Ihr Produkt immer die datenschutzfreundlichste Option als Voreinstellung wählen („Privacy by Default“). So sollte beispielsweise die Option zur Verwendung von Nutzerdaten für die Systemoptimierung in einem Registrierungsformular nicht standardmäßig vorausgewählt sein.
- Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO): Dem Grundsatz der Datenminimierung folgend dürfen Voreinstellungen nur die Verarbeitung von personenbezogenen Daten vorsehen, die für den jeweiligen bestimmten Verarbeitungszweck tatsächlich erforderlich sind. Ein Verstoß gegen Privacy by Default liegt vor, wenn die Nutzer von sich aus aktiv werden müssen, um eine Verbesserung des – voreingestellten schlechteren – Datenschutzniveaus zu erreichen (vgl. Oberster Gerichtshof Wien, Urteil vom 14.09.2022, Az. 6 Ob 106/22i). Speichern Sie personenbezogene Daten daher nur in dem Maße und nur für den Zeitraum, der zur Zweckerreichung unbedingt erforderlich ist. Zum Beispiel sollten auf einem Formular mit einem Geschäftspartner nicht mehr Daten abgefragt werden als zur Vertragsdurchführung nötig. Sind Daten für die Zwecke, zu denen sie erhoben wurden, nicht mehr notwendig, müssen sie unverzüglich gelöscht werden (Art. 17 Abs. 1 lit. a DSGVO).
Beispiel: Der Autovermieter AVIS wurde in Österreich wegen Verstoß gegen die Grundsätze der Datenminimierung sowie des Datenschutzes durch datenschutzfreundliche Voreinstellungen (Privacy by Default) verurteilt. AVIS nutzt vernetzte Fahrzeuge, was an sich nicht zu beanstanden ist. Die integrierten Geräte waren jedoch stets aktiv, solange sie von Kunden nicht deaktiviert wurden – selbst dann, wenn andere Dienste oder Medien im Fahrzeug ausgeschaltet bzw. nicht benötigt werden (vgl. Oberster Gerichtshof Wien, Urteil vom 14.09.2022, Az. 6 Ob 106/22i).
Weitere Erläuterungen mit Beispielen zur datenschutzfreundlichen Technikgestaltung finden Sie hier. Viele Beispiele zur Praktizierung des Prinzips der Datenminimierung bietet dieser Artikel.
☐ Kontrollieren Sie (sofern vorhanden) von Ihnen betriebene oder bereitgestellte IT-Systeme. Gestalten Sie diese so datenschutzfreundlich wie möglich, insbesondere indem Sie datenschutzfreundliche Voreinstellungen auswählen.
☐ Kontrollieren Sie von Ihnen gespeicherte personenbezogene Daten. Löschen Sie alle Daten, die Sie nicht mehr benötigen.
☐ Kontrollieren Sie Ihre Formulare. Erheben Sie nur die Daten, die Sie wirklich benötigen.
e) Datenschutzfolgeabschätzungen
Eine spezielle Pflicht regelt Art. 35 DSGVO: Bei besonders risikoreichen Datenverarbeitungen ist eine sog. Datenschutzfolgenabschätzung durchzuführen.
Eine besonders risikoreiche Datenverarbeitung liegt insbesondere dann vor, wenn:
- eine systematische und umfassende Bewertung persönlicher Aspekte der betroffenen Person stattfindet und diese auf einer automatisierten Verarbeitung basiert (Art. 35 Abs. 3 lit. a DSGVO),
- in großen Umfang besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) oder Daten über strafrechtliche Verurteilungen und Straftaten verarbeitet werden (Art. 35 Abs. 3 lit. b DSGVO) oder
- eine systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche erfolgt (Art. 35 Abs. 3 lit. c DSGVO).
Die deutsche Datenschutzkonferenz, das Gremium, in dem sich alle Datenschutzbehörden abstimmen, hat eine Liste veröffentlicht mit den Verarbeitungstätigkeiten, bei denen in jedem Fall eine Datenschutzfolgenabschätzung durchzuführen ist. Die DSK weist darauf hin, dass die Liste nicht vollständig ist. Es handelt sich aber zumindest um eine hilfreiche Richtlinie.
Kommen Sie bei der Datenschutzfolgenabschätzung zu dem Ergebnis, dass ein hohes Risiko besteht, sind Sie gem. Art. 36 Abs. 1 DSGVO verpflichtet, die Aufsichtsbehörde (= Landesbeauftragter für Datenschutz) zu konsultieren.
Ausführliche Anleitungen zur Vorgehensweise bei Datenschutzfolgenabschätzungen finden Sie hier.
☐ Führen Sie für Datenverarbeitungen, bei denen es erforderlich ist, eine Datenschutzfolgenabschätzung durch.
Überblick: Musteraufbau einer Datenschutzfolgenabschätzung
I. Systematische Beschreibung der besonders risikoreichen Datenverarbeitung
- Art der Verarbeitung
- Technische und organisatorische Gestaltung der Verarbeitung
- Beteiligte (Mitarbeiter, Auftragsverarbeiter, Hersteller verwendeter Technik) und betroffene Personen
- Zweck der Verarbeitung
- Rechtsgrundlage der Verarbeitung
II. Risikobewertung
- Risikoidentifikation: Welche Gefahren drohen der betroffenen Person potentiell?
- Risikoanalyse: Wie wahrscheinlich ist ein Eintritt eines Schadens? Inwieweit ist die konkrete Datenverarbeitung die Ursache dafür? Bestünde das Risiko ohnehin auch, wenn die Verarbeitung nicht vorgenommen würde?
III. Erforderlichkeit der Datenverarbeitung
Ist die Verarbeitung angesichts ihres Zwecks und der bestehenden Risiken notwendig und verhältnismäßig?
IV. Abhilfemaßnahmen
Welche Maßnahmen werden getroffen, um die Risiken zu bewältigen? Hier sollten technische und organisatorische Maßnahmen genannt werden.
2. Informationspflichten: Datenschutzerklärungen/Datenschutzhinweise
Ein Merkmal der DSGVO sind die weitreichenden Informationspflichten, die den Verantwortlichen treffen. Nach Art. 13 und 14 DSGVO müssen bei der Erhebung von Daten die betroffenen Personen über einen Katalog von zwölf verschiedenen Informationen informiert werden. Das gilt grundsätzlich sogar dann, wenn die Daten gar nicht bei der betroffenen Person selbst erhoben werden, sondern von einem Dritten stammen. Hier kann gem. Art. 14 Abs. 4 DSGVO die Informationspflicht ausnahmsweise entfallen, wenn die betroffenen Person die Informationen bereits hat oder die Umsetzung der Informationspflicht nicht zumutbar ist.
Der Zeitpunkt, zu dem die Informationspflicht umgesetzt werden muss, unterscheidet sich danach, wo die personenbezogenen Daten erhoben werden:
- Werden die Daten bei der betroffenen Person erhoben, müssen die Informationen im Zeitpunkt der Erhebung mitgeteilt werden. Faktisch bedeutet dies, dass die Informationen vor der Datenerhebung erteilt werden müssen (vgl. Kühling/Buchner/Bäcker, DSGVO Kommentar, Art. 13 Rn. 56).
- Werden die Daten bei einem Dritten erhoben, sind die Informationen so bald wie möglich zu erteilen, spätestens nach einem Monat.
In der Praxis kann ein Großteil der Informationspflichten durch drei standardmäßige Formulare erfüllt werden:
- Datenschutzhinweise vor Vertragsschluss: Hier wird über die Verarbeitung von Daten informiert, die zur Durchführung eines abzuschließenden Vertrags nötig sind (oft als Kunden-Informationsschreiben bezeichnet). Dies sollte dem Kunden vor Vertragsschluss und Erhebung seiner Daten (insbesondere durch Ausfüllen eines Formulars) zur Kenntnis gebracht werden. Teilweise wird in der juristischen Literatur vertreten, es genüge, die Datenschutzhinweise nur auf der Website bereitzuhalten und bei Vertragsschluss darauf zu verweisen (vgl. Schaffland/Wiltfang, DSGVO Kommentar, Art. 13 Rn. 6). Auf der sicheren Seite sind Sie aber, wenn Sie die Datenschutzhinweise zum einen auf Ihrer Website bereithalten, zum anderen aber auch bei jedem Vertragsschluss ein Exemplar aushändigen (sei es gedruckt oder digital).
- Datenschutzerklärung auf der Website: Durch eine Datenschutzerklärung auf Ihrer Website werden Besucher über die Verarbeitung Ihrer personenbezogenen Daten beim Besuch des Webauftritts informiert. Die denkbaren Datenverarbeitungen auf einer Website reichen von Cookies über Kontaktformulare bis zu Newslettern. Die Datenschutzerklärung muss von jederzeit von allen Unterseiten Ihrer Website aus mit einem Klick erreichbar sein. Gängig und empfehlenswert ist es, einen Link im Footer jeder Webseite Ihres Internetauftritts zu platzieren. Ebenfalls ratsam ist es, von allen Social-Media-Profilen Ihres Unternehmens aus eine Verlinkung auf Ihre Datenschutzerklärung zu setzen.
- Mitarbeiter-Informationsschreiben: Da Sie nicht nur personenbezogene Daten Ihrer Kunden, sondern auch solche Ihrer Beschäftigten verarbeiten, müssen Sie auch Ihre Beschäftigten über die Datenverarbeitung informieren. Dabei ist es praktikabel, jedem Mitarbeiter ein gedrucktes Exemplar auszuhändigen.
Hinweis: Die Informationspflichten nach Art. 13 und 14 DSGVO sind grundsätzlich im Sinne des Gebots der leichten Zugänglichkeit (Art. 12 Abs. 1 S. 1 DSGVO) ohne Medienbruch zugänglich zu machen (vgl. Kühling/Buchner/Bäcker, DSGVO Kommentar, Art. 13 Rn. 58). Wenn also Daten schriftlich (= analog) erhoben werden, sollte auch die Information der betroffenen Person auf analogem Wege erfolgen. Werden die Daten in einem digitalen Formular erhoben, sollten die Informationen per Link auf diesem Formular zur Verfügung gestellt werden.
Die Informationsschreiben müssen gemäß Art. 12 Abs. 1 DSGVO in präziser und verständlicher Sprache geschrieben sein.
Es genügt dann, dass die Informationen von den betroffenen Personen zur Kenntnis genommen werden. Deren „Zustimmung“ ist nicht erforderlich. Zumindest bei Ihren Kunden und Mitarbeitern ist es aus Dokumentationszwecken aber sinnvoll, eine Bestätigung der Kenntnisnahme einzuholen (siehe Punkt 8 unserer Checkliste). Dies kann zum Beispiel durch ein nicht vorangekreuztes Kästchen auf einem Formular oder eine eigenständige Erklärung erfolgen.
Weiterführende Links:
☐ Erstellen Sie Datenschutzhinweise für den Vertragsschluss, eine Datenschutzerklärung für Ihre Website sowie (falls einschlägig) Mitarbeiter-Informationsschreiben (kostenloser Generator) und/oder Kunden-Informationsschreiben (kostenloser Generator).
☐ Gewährleisten Sie, dass die betroffenen Personen vor der Datenerhebung Kenntnis von den Informationen nehmen. Prüfen und ggf. überarbeiten Sie dazu Ihre Formulare und Ihre Website.
Tipp: Eine DSGVO-konforme Datenschutzerklärung für Ihre Website erhalten Sie bei avalex.de. Die avalex Datenschutzerklärung wird nach dem Kauf per Plugin mit wenigen Klicks auf Ihrer Website installiert. Danach passt sich der Rechtstext automatisch an die aktuelle Rechtslage an. Für den allgemeinen Teil der Datenschutzerklärung sowie Belehrungstexte zu zahlreichen Webdiensten gewährt avalex Abmahnkostenschutz (Hinweis: Niklas Plutte ist Geschäftsführer der avalex GmbH).
Überblick: Inhalt einer Datenschutzerklärung zur Erfüllung der Informationspflichten
Es ist zu unterscheiden zwischen Informationen, die immer vorhanden sein müssen und Informationen, die nur erteilt werden müssen, wenn die entsprechende Voraussetzung überhaupt gegeben ist (im Folgenden mit optional gekennzeichnet).
I. Kontaktdaten
- Name und Kontaktdaten des Verantwortlichen (= Ihr Unternehmen).
- Optional: Falls ernannt, die Kontaktdaten des Datenschutzbeauftragten.
II. Datenverarbeitung
- Welche Kategorien von Daten für welche Zwecke verarbeitet werden.
- Rechtsgrundlagen für die Verarbeitungen (wenn eine Datenverarbeitung auf Art. 6 Abs. 1 lit. f gestützt wird, die verfolgten berechtigten Interessen).
- Dauer der Speicherung und Zeitpunkt der Löschung der Daten.
- Optional: Falls die Daten übermittelt werden, die Empfänger der Daten, ggf. Informationen über das Datenschutzniveau in einem Drittland, in das Daten übermittelt werden.
- Optional: Falls die Daten nicht bei der betroffenen Person selbst erhoben wurden, die Quelle der Daten.
- Optional: Falls eine Weiterverarbeitung zu einem anderen Zweck geplant ist, Informationen über den anderen Zweck.
- Optional: Falls die Daten zu einer automatisierten Entscheidungsfindung genutzt werden, Information darüber sowie die Auswirkungen der Entscheidung für die betroffene Person.
III. Hinweise auf Rechte der betroffenen Person
- Recht auf Auskunft
- Recht auf Löschung oder auf Einschränkung der Verarbeitung
- Widerspruchsrecht gegen die Verarbeitung
- Recht auf Datenübertragbarkeit
- Optional: Wenn eine Datenverarbeitung auf einer Einwilligung beruht, das Recht, die Einwilligung jederzeit zu widerrufen
- Beschwerderecht bei der Aufsichtsbehörde
3. Datenschutzbeauftragter
Als nächstes ist zu klären, ob Ihr Unternehmen einen Datenschutzbeauftragten ernennen muss.
a. Pflicht zur Ernennung eines Datenschutzbeauftragten
Sie müssen einen Datenschutzbeauftragten ernennen, wenn einer der folgenden Punkte auf Ihr Unternehmen zutrifft:
- Die Kerntätigkeit Ihres Unternehmens besteht in der Durchführung von Datenverarbeitungen, die eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erfordert (Art. 37 Abs. 1 lit. b DSGVO). Diese unscharfe Formulierung lässt einige Fragen offen. Gemeint sind wohl Fälle, in denen gezielt Informationen größeren Umfangs beschafft werden und dies nicht nur eine reine Hilfstätigkeit für den Hauptzweck des Unternehmens darstellt (vgl. Kühling/Buchner/Bergt, DSGVO Kommentar, Art. 37 Rn. 18 ff.). Der „Umfang“ einer Datenverarbeitung lässt sich sowohl nach der Dauer der Verarbeitung, der Menge der verarbeiteten Daten als auch der Anzahl der betroffenen Personen bemessen. Beispiele sind Privatdetekteien, Bewachungsunternehmen, Personal- oder Partnervermittlungen sowie zielgruppenorientierte Werbevermarkter.
- Die Kerntätigkeit Ihres Unternehmens besteht in der umfangreichen Verarbeitung sensibler Daten nach Art. 9 und 10 DSGVO (Art. 37 Abs. 1 lit. c DSGVO). Maßgeblich ist, wie sehr die in Art. 9 und 10 DSGVO genannten Daten Gegenstand Ihrer geschäftlichen Tätigkeit sind.
- In Ihrem Unternehmen sind mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt (§ 38 Abs. 1 S. 1 BDSG). Es kommt nicht auf Art und Umfang der Datenverarbeitung an, sondern allein darauf, dass mindestens zehn Personen regelmäßig mit Datenverarbeitungen in Kontakt kommen. Zu diesen Personen zählen auch Ehrenamtler oder Teilzeitkräfte.
- In Ihrem Unternehmen werden Datenverarbeitungen vorgenommen werden, die einer Datenschutzfolgenabschätzung gem. Art 35 DSGVO unterliegen (§ 38 Abs. 1 S. 2 BDSG). Ob dies der Fall ist, richtet sich nach Ihren Ergebnissen unter Punkt 1 e).
- Ihr Unternehmen verarbeitet personenbezogene Daten für geschäftsmäßige Datenübermittlung oder Markt- und Meinungsforschung (§ 38 Abs.1 S. 2 BDSG).
Empfehlung: Angesichts der drohenden Bußgelder nach Art. 83 Abs. 4 lit. a DSGVO ist es in Zweifelsfällen sicherer, einen Datenschutzbeauftragten zu ernennen.
b. Persönliche Voraussetzungen eines Datenschutzbeauftragten
Ein Datenschutzbeauftragter muss ausreichendes Fachwissen auf dem Gebiet des Datenschutzrechts vorweisen (Art. 37 Abs. 5 DSGVO). Es kann sich gemäß Art. 37 Abs. 6 DSGVO um eine unternehmensfremde Person (externer Datenschutzbeauftragter) oder einen Beschäftigten Ihres Unternehmens handeln (interner bzw. betrieblicher Datenschutzbeauftragter), sofern letzterer wegen seiner anderen Tätigkeiten im Unternehmen nicht in einen Interessenkonflikt kommt (Art. 38 Abs. 6 DSGVO). Das bedeutet insbesondere, dass der Geschäftsführer des Unternehmens nicht zugleich Datenschutzbeauftragter sein kann.
Externe Datenschutzbeauftragte haften nicht für etwaige DSGVO-Verstöße des Auftraggebers (OLG München, Urteil vom 27.10.2021, Az. 20 U 7501/20).
c. Stellung des Datenschutzbeauftragten
Haben Sie einen Datenschutzbeauftragten ernannt, sind Sie verpflichtet, ihm angemessene Ressourcen zur Verfügung zu stellen und ihn bei der Erfüllung seiner Aufgaben durch Kooperation unterstützen (Art. 38 Abs. 2 DSGVO). Diese Pflicht umfasst ggf. auch die Finanzierung von Fortbildungen. Sie dürfen dem Datenschutzbeauftragten (auf dem Gebiet des Datenschutzes) keine Anweisungen erteilen (Art. 38 Abs. 3 DSGVO). Der Datenschutzbeauftragte berät Sie bei der Umsetzung der DSGVO und überwacht deren Einhaltung. Er arbeitet darüber hinaus mit der Aufsichtsbehörde zusammen (Art. 39 DSGVO).
Haben Sie einen Datenschutzbeauftragten ernannt, sind Sie gemäß Art. 37 Abs. 7 DSGVO verpflichtet, dies der zuständigen Aufsichtsbehörde zu melden. Zuständig für nicht-öffentliche Verantwortlichen ist der Landesbeauftragte für Datenschutz in Ihrem Bundesland.
Achtung: Ein interner Datenschutzbeauftragter genießt besonderen Kündigungsschutz, ebenso der stellvertretende Datenschutzbeauftragte (LAG Chemnitz, Urteil vom 17.03.2023, Az. 4 Sa 133/22). Das gilt sowohl im Hinblick auf seine Abberufung als Datenschutzbeauftragter (Art. 38 Abs. 3 Satz 2 DSGVO) als auch die Kündigung des Arbeitsverhältnisses (§ 38 Abs. 2 BDSG neu in Verbindung mit § 6 Abs. 4 BDSG neu).
- Das Arbeitsverhältnis eines Mitarbeiters, der zum internen Datenschutzbeauftragten ernannt wurde, kann nicht ordentlich gekündigt werden. Möglich ist allenfalls eine außerordentliche Kündigung, was jedoch das Vorliegen eines wichtigen Grundes voraussetzt. Nach der Rechtsprechung des Bundesarbeitsgerichts kommt eine auf betriebliche Gründe gestützte außerordentliche Kündigung in Betracht, wenn die Möglichkeit einer ordentlichen Kündigung ausgeschlossen ist und dies dazu führt, dass der Arbeitgeber den Arbeitnehmer anderenfalls trotz Wegfalls der Beschäftigungsmöglichkeit noch für Jahre vergüten müsste, ohne dass dem eine entsprechende Arbeitsleistung gegenüberstünde (vgl. BAG, Urteil vom 25.08.2022, Az. 2 AZR 225/20 Rdnr. 33 m.w.N.). Dieser Fall dürfte in der Praxis die Ausnahme sein.
- Die sofortige Abberufung eines internen Datenschutzbeauftragten wegen schwerwiegender Verletzung der ihm obliegenden Pflichten ist möglich, nicht jedoch eine außerordentliche Kündigung des Arbeitsverhältnisses (ArbG Heilbronn, Urteil vom 29.09.2022, Az. 8 Ca 135/22).
Wägen Sie daher gut ab, ob und wen Sie als betrieblichen Datenschutzbeauftragten benennen.
Die normative Ausgestaltung des Sonderkündigungsschutzes von betrieblichen Datenschutzbeauftragten verstößt nicht gegen die Grundrechte des Arbeitgebers aus Art. 12 Abs. 1, Art. 14 Abs. 1 sowie Art. 3 Abs. 1 GG. Es handelt sich um eine geeignete, erforderliche wie auch angemessene Einschränkung der Berufsfreiheit des Arbeitgebers, die im Wesentlichen dem Sonderkündigungsschutz für Betriebsräte (§ 15 Abs. 1 KSchG) oder Immissionsschutzbeauftragte (§ 58 Abs. 2 BImSchG) entspricht. Der Eingriff in die Berufsfreiheit des Arbeitgebers ist durchaus erheblich. Die Möglichkeit einer ordentlichen Kündigung des Arbeitsverhältnisses wird dem Arbeitgeber genommen, selbst wenn der Kündigungssachverhalt nichts mit der Tätigkeit als Datenschutzbeauftragter zu tun hat. Hinzu kommt, dass der Arbeitgeber der Sache nach an das einmal gewählte Konzept eines betriebsinternen Datenschutzbeauftragten gebunden bleibt, da auch die Abberufung nach § 6 Abs. 4 Satz 1 BDSG nur in entsprechender Anwendung des § 626 BGB zulässig ist. Eine organisatorische Änderung, nach der der betriebliche Datenschutz zukünftig durch einen externen statt durch einen internen Datenschutzbeauftragten gewährleistet werden soll, rechtfertigt den Widerruf der Bestellung aus wichtigem Grund nicht (BAG, Urteil vom 28.08.2013, Az. 10 AZR 569/12 Rn. 18 ff.). Dadurch wird die Kündigung des Arbeitsverhältnisses in besonderer Weise erschwert und zwar bereits in der Wartezeit (§ 1 Abs. 1 KSchG), während der das Arbeitsverhältnis regelmäßig unter erleichterten Bedingungen beendet werden kann. Dem stehen aber die vom Gesetzgeber als besonders wichtig angesehenen Ziele des Datenschutzes gegenüber, dessen Effizienz von einem unabhängigen Datenschutzbeauftragten besonders gefördert werden kann (BAG, Urteil vom 25.08.2022, Az. 2 AZR 225/20).
Zwischenzeitlich hat der EuGH bestätigt, dass die Regelungen des deutschen BDSG zur Abberufung einer Datenschutzbeauftragten der DSGVO nicht entgegenstehen. Das nationale Recht darf strengere Vorgaben zur Abberufung eines Datenschutzbeauftragten machen als die Datenschutzgrundverordnung. Ob im jeweiligen Einzelfall die Voraussetzungen für eine zulässige Abberufung vorliegen, muss das Gericht entscheiden (EuGH, Urteil vom 09.02.2023, Az. C-453/21, C-560/21).
Ein Betriebsratsvorsitzender darf kein interner Datenschutzbeauftragter sein (vgl. BAG, Urteil vom 06.06.2023, Az. 9 AZR 383/19 u.a.).
☐ Bestellen Sie, sofern nötig, einen Datenschutzbeauftragten und gewährleisten Sie die nötige Kooperation und Unterstützung.
☐ Melden Sie die Kontaktdaten des Datenschutzbeauftragten der zuständigen Aufsichtsbehörde.
Überblick: Pflicht zur Bestellung eines Datenschutzbeauftragten
- Kerntätigkeit des Unternehmens erfordert umfangreiche regelmäßige und systematische Überwachung oder umfangreiche Verarbeitung von besonders sensiblen Daten.
- mindestens 10 Personen ständig mit Datenverarbeitung beschäftigt.
- Datenverarbeitungen vorgenommen werden, die eine Datenschutzfolgenabschätzung erfordern.
- Daten werden zur geschäftsmäßigen Übermittlung oder zu Markt- und Meinungsforschungszwecken verarbeitet.
4. Betroffenenrechte
Die DSGVO gibt betroffenen Personen eine Reihe von Ansprüchen an die Hand, die Sie bei Vorliegen der jeweiligen Voraussetzungen und einer entsprechenden Anfrage der betroffenen Personen erfüllen müssen.
- Alle Rechte können formfrei geltend gemacht werden, das heißt auch mündlich. Damit die Daten nicht in die falschen Hände geraten, sind Sie bei Unklarheiten berechtigt (VG Berlin, Beschluss vom 24.04.2023, Az. VG 1 K 27/22) und bei Zweifeln auch verpflichtet, eine Identitätsfeststellung vorzunehmen, z.B. durch Vorlage der Kopie eines Personalausweises (Art. 12 Abs. 6 DSGVO), Abfrage des Geburtsdatums oder Zwei-Faktor-Identifizierung.
- Es ist im Grundsatz Ihre Pflicht, Ihr Unternehmen so zu organisieren, dass Sie alle Anfragen von betroffenen Personen bearbeiten können. Allerdings müssen Sie keine zusätzlichen Informationen erheben, nur um die Betroffenenrechte erfüllen zu können (Art. 11 Abs. 1 DSGVO). Hier müssen Sie aber nachweisen können, dass Ihnen eine Zuordnung unmöglich ist. Auch kann Ihnen die betroffene Person zusätzliche Informationen anbieten, damit Sie die Zuordnung vornehmen können. Diese Ausnahme wird deshalb nur in seltenen Fällen greifen.
- Die Betroffenenrechte müssen unverzüglich und unentgeltlich erfüllt werden. Nur bei missbräuchlichen Anträgen (= offenkundig unbegründet oder exzessiv häufigen) kann eine Gebühr erhoben werden (Art. 12 Abs. 5 DSGVO). Die Betroffenenrechte müssen spätestens innerhalb eines Monats bearbeitet werden. Nur in Ausnahmefällen ist eine Fristverlängerung möglich (Art. 12 Abs. 3 DSGVO).
- Beachten Sie, dass Sie bei Ablehnung eines Antrags nach Art. 12 Abs. 4 DSGVO eine Rechtsbehelfsbelehrung anfügen müssen.
- Rechtsmissbrauch: Für die Verfolgung datenschutzrechtlicher Ansprüche kann auf die Wertungen von § 8c UWG zurückgegriffen werden. Auf dieser Grundlage wurde beispielsweise der Versand von mindestens 217.540 Anschreiben über einen Zeitraum von fünf Wochen mit Zahlungsaufforderungen zu je 170 Euro als rechtsmissbräuchlich bewertet, da das Interesse an einer Einnahmeerzielung im Vordergrund gestanden habe (vgl. AG Ludwigsburg, Urteil vom 28.02.2023, Az. 8 C 1361/22).
a) Auskunftsrecht (Art. 15 DSGVO)
Jede Person darf umfassend und grundsätzlich kostenlos Auskunft über sie betreffende personenbezogene Daten sowie weitere Informationen verlangen (vgl. BGH, Beschluss vom 15.07.2021, Az. V ZB 53/20). Nach Erwägungsgrund 63 DSGVO dient das Auskunftsrecht aus Art. 15 DSGVO dem Betroffenen dazu, sich der Verarbeitung seiner personenbezogenen Daten bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. So soll Art. 15 DSGVO eine Rechtmäßigkeitskontrolle der Datenverarbeitungsvorgänge ermöglichen. Der Betroffene soll den Umfang und Inhalt der gespeicherten Daten beurteilen können. Die Auskünfte dienen auch dazu, der betroffenen Person die Wahrnehmung der weiteren Rechte nach der Datenschutzgrundverordnung zu ermöglichen, vor allem das Recht auf Berichtigung nach Art. 16 DSGVO, auf Löschung nach Art. 17 DSGVO und auf Einschränkung der Verarbeitung nach Art. 17 DSGVO (vgl. LG Krefeld, Urteil vom 06.10.2021, Az. 2 O 448/20; OLG Köln, Beschluss vom 03.09.2019, Az. 20 W 10/18). Eine Abtretung des Auskunftsanspruchs an eine andere Person ist nicht möglich, da es sich um ein höchstpersönliches Recht handelt (Kammergericht, Urteil vom 22.11.2023, Az. 28 U 5/23).
Ein Auskunftsverlangen der betroffenen Person an den Verantwortlichen nach Art. 15 Abs. 1 DSGVO begründet ein Auskunftsschuldverhältnis (OLG Düsseldorf, Beschluss vom 02.12.2024, Az. 16 W 93/23). Der als Bringschuld ausgestaltete Auskunftsanspruch ist weit auszulegen (vgl. BGH, Urteil vom 15.06.2021, Az. VI ZR 576/19) und setzt kein besonderes Rechtsschutzbedürfnis voraus (LAG Stuttgart, Urteil vom 17.03.2021, Az. 21 Sa 43/20). Das Auskunftsersuchen muss vom Betroffenen nach Erwägungsgrund 63 Satz 7 DSGVO präzisiert werden. Es muss deutlich werden, auf welche Informationen sich der Auskunftsanspruch bezieht (LAG Sachsen, Urteil vom 17.02.2021, Az. 2 Sa 63/20). Ein Antrag gemäß Art. 15 Abs. 1 Satz 1 Halbsatz 2 DSGVO auf Auskunftserteilung über „sämtliche personenbezogenen Daten“ genügt regelmäßig nicht dem Bestimmtheitserfordernis des § 253 Abs. 2 Nr. 2 ZPO (LArbG Baden-Württemberg, Urteil vom 27.07.2023, Az. 3 Sa 33/22).
Sind dem Betroffenen die gewünschten Auskünfte bereits bekannt, schließt dies für sich genommen den Auskunftsanspruch nicht aus (vgl. LG Bonn, Beschluss vom 24.05.2022, Az. 9 O 158/21). Unzulässig sind dagegen exzessive Anträge (Art. 12 Abs. 5 Satz 2 lit. b DSGVO), was der Fall ist, wenn der Auskunftsanspruch missbräuchlich eingesetzt wird (Beispiele: Offensichtlich unbegründete Anträge oder rechtsmissbräuchliche Anträge wie insbesondere die in Art. 12 Abs. 5 DSGVO genannte häufige Wiederholung eines Antrags). Rechtsmissbrauch wurde vielfach angenommen, wenn mit der Geltendmachung des Auskunftsanspruchs kein in Erwägungsgrund 63 DSGVO genanntes Interesse verfolgt wird, sondern ein sonstiges Ziel (LG Gießen, Urteil vom 11.01.2023, Az. 2 O 178/22; LG Augsburg, Urteil vom 19.10.2022, Az. 93 O 1521/22; LG Gießen, Urteil vom 08.09.2022, Az. 5 O 1954/21; LG Würzburg, Urteil vom 20.07.2022, Az. 91 O 537/22 Ver; OLG Dresden, Urteil vom 29.03.2022, Az. 4 U 1905/21; OLG Hamm, Beschluss vom 15.11.2021, Az. 20 U 269/21; LG Krefeld, Urteil vom 06.10.2021, Az. 2 O 448/20; LG Wuppertal, Urteil vom 29.07.2021, Az. 4 O 409/20; LG Essen, Urteil vom 23.02.2022, Az. 18 O 204/21; LG Paderborn, Urteil vom 15.12.2021, Az. 4 O 275/21), zum Beispiel Information über Prämienanpassungen (OLG Brandenburg, Urteil vom 16.06.2023, Az. 11 U 9/23; OLG Nürnberg, Urteil vom 14.03.2022, Az. 8 U 2907/21; LG Kassel, Urteil vom 05.07.2022, Az. 5 O 1954/21; anderer Ansicht: OLG Celle, Urteil vom 15.12.2022, Az. 8 U 165/22). Missbräuchliches Handeln wurde weiterhin angenommen, wer anbietet, gegen Zahlung von Schadensersatz auf eine DSGVO-Auskunft zu verzichten (Datenschutzbehörde Österreich, Bescheid vom 21.02.2023, Az. 2023-0.137.735 zu Angebot/Forderung über 2.900 Euro). Wiederholte, umfangreiche Auskunftsforderungen (hier alle drei Jahre) sind dagegen nicht zwingend rechtsmissbräuchlich, auch wenn sie der Vorbereitung einer nachfolgenden Klage dienen (OLG Wien, Urteil vom 10.06.2024, Az. 14 R 48/24t).
Einem funktionswidrigen Auskunftsantrag, der zum Beispiel der Vorbereitung eines Anspruchsbegehrens gegen den Verantwortlichen dient statt einer Verfolgung legitimer DSGVO-Ziele, muss nicht entsprochen werden (LAG Sachsen, Urteil vom 17.02.2021, Az. 2 Sa 63/20). Gleiches gilt, wenn das Auskunftsbegehren zum Ziel hat, sich gegen eine Klage des Verantwortlichen besser verteidigen zu können (vgl. LG Frankenthal, Urteil vom 12.01.2021, Az. 1 HK O 4/19). Ein Anspruch auf Datenauskunft aus Art. 15 DSGVO kann ausgeschlossen sein, wenn hiermit verordnungsfremde Zwecke verfolgt werden. Das ist zum Beispiel der Fall, wenn das Auskunftsbegehren ausschließlich der Verfolgung von Leistungsansprüchen dient (LG Detmold, Urteil vom 26.10.2021, Az. 2 O 108/21). Achtung: Ob die vorstehende einschränkende Auslegung der Gerichte zum DSGVO-Auskunftsanspruch Bestand hat, ist noch nicht endgültig geklärt. So vertritt zum Beispiel das Oberlandesgericht Köln abweichende Auffassung. Konkret wurde ein Kopieersuchen, mit dem sich der Betroffene Informationen zur Vorbereitung eines Gerichtsverfahrens über datenschutzexterne Ansprüche gegen den Verantwortlichen beschaffen wollte, als „unbedenklich und grundsätzlich zu erfüllen“ eingestuft (vgl. OLG Köln, Urteil vom 13.05.2022, Az. 20 U 295/21). Der Bundesgerichtshof hat dem EuGH hierzu mehrere Fragen zur Beantwortung vorgelegt (vgl. EuGH, Beschluss vom 29.03.2022, Az. VI ZR 1352/20). Das Landgericht Erfurt erwägt ebenfalls eine Vorlage an den EuGH, ob bei sachfremden Zielen kein DSGVO-Auskunftsanspruch geltend gemacht werden kann (LG Erfurt, Beschluss vom 07.07.2022, Az. 8 O 1280/21).
Auf einen zulässigen Auskunftsantrag hin soll der Verantwortliche dem Betroffenen gemäß Art. 12 Abs. 3 DSGVO unverzüglich Auskunft erteilen, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche hat den Betroffenen innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung zu unterrichten, zusammen mit den Gründen für die Verzögerung.
In dem Auskunftsschuldverhältnis nach Art. 15 Abs. 1 DSGVO kann der Verantwortliche mit Ablauf der Monatsfrist des Art. 12 Abs. 3 Satz 1 DSGVO gemäß § 286 Abs. 2 Nr. 2 BGB mit der Auskunftserteilung in Verzug geraten, wenn er die Auskunft bis dahin nicht erteilt (OLG Düsseldorf, Beschluss vom 02.12.2024, Az. 16 W 93/23). Eine verspätete Auskunftserteilung auf ein Verlangen nach Art. 15 Abs. 1 DSGVO stellt als solche keinen immateriellen Schaden dar. Ein bloßer Verstoß gegen die Vorgaben der Datenschutzgrundverordnung genügt nicht, um einen Schadensersatzanspruch gemäß Art. 82 Abs. 1 DSGVO zu begründen (LArbG Baden-Württemberg, Urteil vom 27.07.2023, Az. 3 Sa 33/22). Ob eine verspätete und/oder unvollständige Auskunft gemäß Art. 15 DSGVO im Einzelfall eine Geldentschädigung rechtfertigen kann, ist umstritten. Beispiele:
- 500 Euro (OLG Köln, Urteil vom 14.07.2022, Az. 15 U 137/21)
- 750 Euro (ArbG Duisburg, Urteil vom 03.11.2023, Az. 5 Ca 877/23, Auskunft angefordert am 18. Mai, Auskunft erteilt am 05. Juni)
- 1.000 Euro (BAG, Urteil vom 05.05.2022, Az. 2 AZR 363/21) oder
- 1.250 Euro (LAG Niedersachsen, Urteil vom 22.10.2021, Az. 16 Sa 761/20)
- Abgelehnt von LArbG Düsseldorf, Urteil vom 28.11.2023, Az. 3 Sa 285/23 (Pressemitteilung)
Nach Art. 15 Abs. 3 Satz 1 DSGVO stellt der Verantwortliche der betroffenen Person eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Durch die Rechtsprechung des EuGH ist inzwischen geklärt, dass Art. 15 Abs. 3 Satz 1 DSGVO dem Betroffenen kein anderes Recht als das in Abs. 1 der Vorschrift vorgesehene gewährt. Der Begriff „Kopie“ bezieht sich nicht auf ein Dokument als solches, sondern auf die personenbezogenen Daten, die es enthält und die vollständig sein müssen. Die Kopie muss daher alle personenbezogenen Daten enthalten, die Gegenstand der Verarbeitung sind (EuGH, Urteil vom 26.10.2023, C-307/22; BFH, Urteil vom 07.05.2024, Az. IX R 21/22).
Enthalten muss die Auskunft u.a. die Verarbeitungszwecke, die Empfänger von Daten und die geplante Dauer der Speicherung. Unter den Auskunftsanspruch fallen Telefonnotizen, Aktenvermerke, Gesprächsprotokolle, E-Mails und Briefe (OLG München, Urteil vom 04.10.2021, Az. 3 U 2906/20), Kontobewegungen auf dem eigenen Bankkonto (AG Bonn, Urteil vom 30.07.2020, Az. 118 C 315/19) und im Zweifel sogar den Namen eines Tippgebers, der sich über den Betroffenen beschwert hat (BGH, Urteil vom 22.02.2022, Az. VI ZR 14/21). Vom Auskunftsanspruch umfasst sind alle Schreiben der betroffenen Person an die verantwortliche Stelle (BGH, Urteil vom 16.04.2024, Az. VI ZR 223/21). Der BGH zählt auch eigene Korrespondenz der betroffenen Person und interne Vermerke zu „Daten“, die in Kopie zu beauskunften sind (BGH, Urteil vom 15.06.2021, Az. VI ZR 576/19; in Bezug auf den Anspruch einer Kopie auch: LAG Stuttgart, Urteil vom 17.03.2021, Az. 21 Sa 43/20). Das Landgericht Köln war noch davon ausgegangen, dass interne Vermerke, rechtliche Bewertungen oder Analysen nicht vom Auskunftsanspruch umfasst sind (LG Köln, Urteil vom 18.03.2019, Az. 26 O 25/18). Das datenschutzrechtliche Auskunftsrecht nach Art. 15 DSGVO umfasst das Recht, zu erfahren, ob die eigenen personenbezogenen Daten bei einer Datenpanne offengelegt wurden (OGH, Entscheidung vom 24.03.2023, 6 Ob 242/22i). Ein Patient hat nach der DSGVO das Recht, unentgeltlich eine erste Kopie der Patientenakte zu erhalten. Der Arzt kann ein solches Entgelt nur dann verlangen, wenn der Patient eine erste Kopie seiner Daten bereits unentgeltlich erhalten hat und erneut einen Antrag auf diese stellt (EuGH, Urteil vom 26.10.2023, Az. C-307/22). Ein Auskunftsersuchen des Gesellschafters, das auch dem Ziel dient, die Namen, Anschriften und Beteiligungshöhe der Mitgesellschafter dazu zu verwenden, diesen Kaufangebote für ihre Anteile zu unterbreiten, stellt keine unzulässige Rechtsausübung und keinen Missbrauch des Auskunftsrechts dar. Einem solchen Auskunftsbegehren stehen auch nicht die Regelungen der DSGVO entgegen (BGH, Beschluss vom 24.10.2023, Az. II ZB 3/23).
Nicht unter den Auskunfts- und Herausgabeanspruch fallen dagegen Dokumente, die Vertragserklärungen enthalten, hier ein bloßes Beitragsanpassungsschreiben mit dem Namen des Versicherungsnehmers (vgl. LG Berlin, Urteil vom 21.12.2021, Az. 4 O 381/20). Übernimmt ein Arzt eine Praxis, erfüllt er den Auskunftsanspruch, wenn er dem Betroffenen auf Anfrage mitteilt, dass in der Praxis Behandlungsdokumentation zu seiner Person vorhanden ist, die der Vorgänger erstellt hatte. Eine weitergehende, detailliertere Auskunft nach Art. 15 DSGVO ist nur möglich und geschuldet, wenn der Betroffene dem Arzt eine Sichtung der Unterlagen erlaubt (LG Hagen, Beschluss vom 31.08.2022, Az. 11 C 47/22).
Der Empfänger einer unerbetenen Werbemail hat nach Art. 15 Abs. 1 DSGVO das Recht, vom Verantwortlichen eine Bestätigung darüber zu verlangen, ob ihn betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, hat er ein Recht auf Auskunft über diese personenbezogenen Daten und auf weitere Informationen, die in der Norm genannt werden, unter anderem hinsichtlich des Bestehens einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO und – zumindest in diesen Fällen – aussagekräftiger Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person, Art. 15 Abs. 1 HS. 2 lit. h DSGVO. Wenn der Verantwortliche dem Betroffenen hinreichend deutlich mitteilt, keine Daten iSd. Art. 15 Abs. 1 HS. 2 lit. h DSGVO zu verarbeiten, wird die Verpflichtung aus der eben genannten Norm erfüllt (Kammergericht, Urteil vom 15.09.2021, Az. 5 U 35/20).
Für die Auskunftserteilung ist keine Form vorgeschrieben, daher reicht beispielsweise eine Auskunftserteilung per E-Mail aus. Eine Auskunftserteilung per unverschlüsselter E-Mail soll jedoch gegen Art. 5 DSGVO verstoßen, wobei ein Anspruch auf Schadensersatz aus Art. 82 DSGVO nur bei Nachweis eines konkreten Schadens bestehen soll (ArbG Suhl, Urteil vom 20.12.2023, Az. 6 Ca 704/23). Zur Auskunftserteilung kann sich der Verantwortliche auch des Datenschutzbeauftragten als Erfüllungsgehilfen bedienen (LArbG Baden-Württemberg, Urteil vom 10.08.2022, Az. 2 Sa 16/21 ab Rdnr. 96). Der Verantwortliche kann seine Auskunftspflicht auch elektronisch erfüllen, indem er dem Betroffenen einen Link zur Verfügung stellt, unter dem die Informationen via Internet abgerufen werden können, z.B. im Online-Kundenkonto im Bereich „Einstellungen & Datenschutz“ (vgl. LG München, Urteil vom 02.09.2021, Az. 23 O 10931/20).
Die Auskunft muss präzise, transparent, verständlich und in leicht zugänglicher Form in klarer und einfacher Sprache erfolgen. Es besteht aber kein Anspruch darauf, dass die Auskunft in einer möglichst einfach zu erfassenden Form zur Verfügung gestellt wird, jedenfalls solange dem Betroffenen die Möglichkeit der Kenntnisnahme nicht unzumutbar erschwert wird (VG Berlin, Urteil vom 10.01.2024, Az. 1 K 73/22, wo eine durchsuchbare PDF als ausreichend eingestuft wurde).
Im Rahmen der Auskunftserteilung muss der Betroffene darüber informiert werden, dass die Möglichkeit zur Beschwerde bei einer Aufsichtsbehörde besteht. Eine Nennung der konkreten Aufsichtsbehörde oder ihrer Kontaktdaten ist jedoch nicht erforderlich (vgl. AG Wiesbaden, Urteil vom 03.03.2022, Az. 93 C 2338/20 (22)).
Wurden keine personenbezogenen Daten des Betroffenen beim Verantwortlichen verarbeitet, muss er auf dessen Anfrage hin zumindest eine Negativauskunft erteilen. Die Anfrage nicht zu beantworten, ist unzulässig (AG Lehrte, Beschluss vom 03.02.2021, Az. 9 C 139/20).
Eine Auskunftsklage nach Art. 15 DSGVO ist unzulässig, wenn vorher außergerichtlich kein Auskunftsantrag gestellt worden war. Es fehlt in diesem Fall an einer Beschwer (BFH, Urteil vom 12.11.2024, Az. IX R 20/22).Im Rahmen einer Auskunftsklage reicht es nicht, als Klageantrag den Wortlaut von Art. 15 Abs. 3 DSGVO wiederzugeben, da dies nicht ausreichend bestimmt ist im Sinne von § 253 Abs. 2 Nr. 2 ZPO (LAG Sachsen, Urteil vom 17.02.2021, Az. 2 Sa 63/20).
Welcher Streitwert für die Geltendmachung des Auskunftsanspruchs anzusetzen ist, ist umstritten. Es handelt sich um eine nicht vermögensrechtliche Streitigkeit. Während in einem Festsetzungsverfahren bezüglich des Werts der anwaltlichen Tätigkeit (§ 33 RVG) § 23 Abs. 3 RVG anzuwenden ist, kommt im Rahmen einer Festsetzung des Gebührenstreitwerts (§ 63 Abs. 2 GKG) § 48 Abs. 2 GKG zur Anwendung. Die gesetzliche Wertung in § 23 Abs. 3 RVG („Regelwert“) darf aber auch bei der Festsetzung nach § 63 Abs. 2 GKG nicht vollständig unberücksichtigt bleiben (Hessisches LAG, Beschluss vom 11.11.2022, Az. 12 Ta 417/22). Teilweise wird angenommen, dass für einen Datenauskunftsanspruch gemäß Art. 15 DSGVO „regelmäßig ein pauschaler Streitwert von bis zu 5.000 Euro angemessen“ sei (OLG Köln, Beschluss vom 12.11.2020, Az. 9 W 34/20, wobei dasselbe Gerichte gut ein Jahr zuvor nur 500 Euro für angemessen hielt, vgl. OLG Köln, Beschluss vom 05.02.2018, Az. I-9 U 120/17). Andere Gerichte setzen 2.000 Euro (LG Berlin, Beschluss vom 16.12.2019, Az. 35 T 14/19) oder gar nur 500 Euro an (Hessisches LAG, Beschluss vom 11.11.2022, Az. 12 Ta 417/22; LG Hamburg, Beschluss vom 01.07.2022, Az. 305 S 68/21; LAG Nürnberg, Beschluss vom 28.05.2020, Az. 2 Ta 76/20; LAG Nürnberg, Beschluss vom 30.10.2020, Az. 2 Ta 123/20; LAG Baden-Württemberg, Beschluss vom 23.01.2020, Az. 5 Ta 123/19; LAG Düsseldorf, Beschluss vom 16.12.2019, Az. 4 Ta 413/19; LAG Berlin-Brandenburg, Beschluss vom 18.03.2021, Az. 26 Ta (Kost) 6110/20). Das Landgericht Bonn meint, dass der Anspruch auf Datenauskunft nicht verallgemeinerungsfähig mit einem pauschalen Streitwert bemessen werden kann. Ein regelmäßiger Streitwert von 5.000 Euro sei aber fernliegend. Stattdessen seien in aller Regel 500 Euro anzunehmen (vgl. LG Bonn, Urteil vom 01.07.2021, Az. 15 O 355/20).
Der Herausgabeanspruch nach Art. 15 Abs. 3 DSGVO bezieht sich allein auf die Daten, auf die das Auskunftsrecht nach Art. 15 Abs. 1 DSGVO gerichtet ist (LAG Niedersachsen, Urteil vom 22.10.2021, Az. 16 Sa 761/20).
Art. 15 DSGVO stellt eine Marktverhaltensregel im Sinne von § 3a UWG dar. Verstöße können von Verbraucherschutzvereinen abgemahnt werden (LG Düsseldorf, Urteil vom 15.03.2024, Az. 34 O 41/23, hier: Auskunftserteilung erst knapp zwei Monate nach Antragstellung).
Das Europarecht sieht aus Sicht des AG Chemnitz keine Verjährung des Auskunftsanspruchs aus Art. 15 DSGVO vor. Der Anspruch unterliege keinen Verjährungsfristen, was bedeutet, dass er zeitlich unbegrenzt geltend gemacht werden kann (AG Chemnitz, Urteil vom 22.11.2024, Az. 16 C 1063/24).
b) Recht auf Berichtigung (Art. 16 DSGVO)
Jede betroffene Person kann vom Verantwortlichen verlangen, dass er nur richtige Informationen über sie verarbeitet. Der Verantwortliche muss daher ggf. unrichtige oder unvollständige Daten ändern oder ergänzen.
- Unrichtige Daten: Ob ein personenbezogenes Datum unrichtig ist, muss anhand eines objektiven Maßstabs beurteilt werden. Das führt dazu, dass bei falschen Tatsachenbehauptungen ein Anspruch auf Berichtigung besteht, zum Beispiel eine falsche Namensangabe oder ein falsches Geburtsdatum. Dagegen besteht kein Berichtigungsanspruch bei Meinungen oder Werturteilen, da sich diese weder als wahr noch falsch einstufen lassen. Ausnahme: Die Meinungsäußerung beruht auf einer falschen Tatsache. In diesem Fall verdient die Meinungsäußerung keinen Schutz. Entsprechend darf eine Berichtigung der Meinungsäußerung verlangt werden.
- Unvollständige Daten: Anders als unrichtige Daten sind unvollständige Daten in der Sache korrekt. Ihre Angabe reicht aber nicht aus, um einen Sachverhalt zutreffend wiederzugeben. Was für die zutreffende Wiedergabe des Sachverhalts relevant ist, lässt sich nicht verallgemeinern und muss kontextbezogen beurteilt werden.
c) Recht auf Löschung (Art. 17 Abs. 1 DSGVO)
Wird die Datenverarbeitung aus einem der in Art. 17 Abs. 1 DSGVO genannten Gründe rechtswidrig oder ist sie für die verfolgten Zwecke nicht mehr erforderlich, muss der Verantwortliche diese Daten löschen. Der Anspruch auf Löschung personenbezogener Daten schließt den Anspruch darauf ein, dass die gelöschten Daten nicht erneut verarbeitet werden. Art. 17 DSGVO kann dem Betroffenen deshalb im Einzelfall auch einen entsprechenden Unterlassungsanspruch gewähren (OLG München, Urteil vom 22.03.2022, Az. 18 U 1697/21). Besonderheit dieses Rechts ist, dass der Verantwortliche auch ohne Antrag der betroffenen Person verpflichtet ist, die betroffenen Daten bei Vorliegen der obigen Voraussetzungen zu löschen. Unberechtigt gespeicherte personenbezogene Daten können auch dann gelöscht werden, wenn sie den gesetzlichen Aufbewahrungspflichten unterfallen (OLG Dresden, Urteil vom 14.12.2021, Az. 4 U 1278/21).
Abweichend hiervon besteht kein Recht zur Löschung, wenn ein Fall des Art. 17 Abs. 3 DSGVO vorliegt.
Art. 17 Abs. 1 DSGVO gilt beispielsweise nicht, soweit die Datenverarbeitung auf der Grundlage aller relevanten Umstände des Streitfalls zur Ausübung des Rechts auf freie Meinungsäußerung und Information erforderlich ist (Art. 17 Abs. 3 a) DSGVO). Dieser Umstand ist Ausdruck der Tatsache, dass das Recht auf Schutz personenbezogener Daten kein uneingeschränktes Recht ist, sondern im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden muss (EuGH, Urteil vom 24.09.2019, Az. C-136/17; BGH, Urteil vom 27.07.2020, Az. VI ZR 405/18).
Beispiel: Es kann zulässig sein, im Rahmen einer negativen Kundenrezension den Namen einer Person zu nennen mit der Folge, dass kein Löschungsanspruch gegen die Bewertungsplattform besteht, weil die Verarbeitung zur Wahrung der Meinungsfreiheit erforderlich ist (OLG Hamm, Urteil vom 29.06.2021, Az. I-4 U 189/20).
Beispiel: Die Veröffentlichung einer Gerichtsentscheidung kann, auch wenn eine Prozesspartei ohne großen Aufwand mithilfe anderer Informationen identifiziert werden kann und die Entscheidung damit nicht im datenschutzrechtlichen Sinne anonymisiert ist, bei einem überwiegenden Informationsinteresse der Öffentlichkeit gerechtfertigt sein (im Anschluss an VGH Bad.-Württ., Beschluss vom 23.07.2010, Az. 1 S 501/10). Rechtsgrundlage ist die kraft nationalen Verfassungsrechts allen Gerichten obliegende Verpflichtung zur Veröffentlichung von veröffentlichungswürdigen Gerichtsentscheidungen. Diese stellt eine den Anforderungen des Art. 6 Abs. 3 DSGVO genügende rechtliche Verpflichtung im Sinne des Art. 17 Abs. 3 b) Var. 1 DSGVO dar, die das Recht auf Löschung nach Art. 17 Abs. 1 DSGVO ausschließen (VG Stuttgart, Urteil vom 31.03.2022, Az. 1 K 6043/20 – Pseudonymisierung).
Die Aufsichtsbehörde eines Mitgliedstaats kann selbst dann die Löschung unrechtmäßig verarbeiteter Daten anordnen, wenn die betroffene Person zuvor keinen entsprechenden Antrag gestellt hat. Eine solche Löschung kann sich sowohl auf bei der betroffenen Person erhobene als auch auf aus einer anderen Quelle stammende Daten beziehen (EuGH, Urteil vom 14.03.2024, Az. C-46/23).
d) Recht auf Vergessenwerden (Art. 17 Abs. 2 DSGVO)
Haben Sie die Daten einer betroffenen Person öffentlich gemacht und sind nun zu deren Löschung verpflichtet, müssen Sie auch andere Verantwortliche, die die Daten durch die Veröffentlichung erlangt haben, von dem Löschbegehren unterrichten.
Beispiel: Wenn eine betroffene Person die Löschung von Daten verlangt, die Sie auf Ihrem Facebook-Profil öffentlich gemacht haben, müssen Sie nicht nur selbst die Daten löschen, sondern auch Facebook (und wegen der Auffindbarkeit des Profils wohl auch Google) davon informieren, dass die betroffene Person die Löschung der Daten verlangt.
e) Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
Unter besonderen Voraussetzungen (siehe Art. 18 Abs. 1 DSGVO), insbesondere bei Streitigkeiten über die Rechtmäßigkeit einer Datenverarbeitung, müssen Sie die betroffenen Daten markieren und vorerst nicht mehr weiterverarbeiten. Zum Beispiel können Sie entsprechende Daten für alle Nutzer sperren oder aus einer Software entfernen. Denkbar ist beispielsweise auch die zeitweilige Entfernung eines umstrittenen Fotos von einer Website (vgl. Kühling/Buchner/Herbst, DSGVO Kommentar, Art. 18 Rn. 30 f.).
f) Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Das Recht auf Datenübertragbarkeit regelt Fälle, in denen eine betroffene Person ihre Daten bei einem Anbieterwechsel „mitnehmen“ möchte. Sie müssen die Daten in einem strukturierten, gängigen und maschinenlesbaren Format entweder der betroffenen Person oder (auf Antrag gem. Art. 20 Abs. 2 DSGVO) dem neuen Anbieter zur Verfügung stellen. Letzteres gilt aber nur, soweit eine Übermittlung an den neuen Anbieter „technisch machbar“ ist (Art. 20 Abs. 2 DSGVO).
g) Recht auf Widerspruch (Art. 21 DSGVO)
Verarbeiten Sie Daten gestützt auf eine Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO, kann die betroffene Person dagegen Widerspruch erheben, wenn sie begründen kann, dass in ihrem Fall eine besondere Situation vorliegt. Sie müssen in diesem Fall nachweisen, dass Ihr Verarbeitungsinteresse auch in dem konkreten Einzelfall überwiegt oder anderenfalls die Verarbeitung einstellen.
h) Recht auf Schadensersatz (Art. 82 DSGVO)
Bei Verletzung von DSGVO-Vorschriften kann dem Betroffenen ein Anspruch auf Ersatz immaterieller Schäden („Schmerzensgeld“) aus Art. 82 DSGVO oder sonst einem rechtlichen Aspekt zustehen. Art. 82 DSGVO ist allerdings restriktiv auszulegen (LG Frankfurt, Urteil vom 18.09.2020, Az. 2-27 O 100/20) unter Beachtung, dass der immaterielle Schadensersatz nach der DSGVO keinen Strafcharakter hat (OLG Dresden, Urteil vom 30.11.2021, Az. 4 U 1158/21; BAG, Urteil vom 20.06.2024, Az. 8 AZR 124/23).
Nach der Rechtsprechung des Europäischen Gerichtshofs reicht der bloße Verstoß gegen eine DSGVO-Vorschrift nicht aus, um einen Schadenersatzanspruch zu begründen, da das Vorliegen eines materiellen oder immateriellen „Schadens“ eine der Voraussetzungen für den in Art. 82 Abs. 1 vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DSGVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (EuGH, Urteil vom 14.04.2024, Az. C-741/21 – GP gegen juris GmbH).
Allein der Verstoß gegen datenschutzrechtliche Vorschriften führt vor diesem Hintergrund nicht zu einer Verpflichtung des Verantwortlichen zur Zahlung von Schadensersatz (OLG Karlsruhe, Urteil vom 26.04.2022, Az. 14 U 270/20; LG Hamburg, Urteil vom 04.09.2020, Az. 324 S 9/19; ebenso: LG Karlsruhe, Urteil vom 02.08.2019, Az. 8 O 26/19). Die Sorge vor einem Datenmissbrauch kann zwar einen immateriellen Schaden im Sinne von Art 82. Abs. 1 DSGVO darstellen. Die bloße Äußerung entsprechender Befürchtungen reicht jedoch für die Darlegung eines Schadens nicht aus. Die Nichterfüllung des Auskunftsanspruchs löst geradezu zwangsläufig die Sorge eines Verstoßes gegen sonstige Verpflichtungen aus der DSGVO aus (BAG, Urteil vom 20.06.2024, Az. 8 AZR 124/23).
Insofern muss die Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Vorschriften der DSGVO nachweisen, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist. Dagegen ist der Ersatz eines immateriellen Schadens nach Art. 82 DSGVO nicht davon abhängig, dass der der betroffenen Person entstandene Schaden einen gewissen Schweregrad erreicht hat. Einen Ausschluss vermeintlicher Bagatellschäden sieht das Gesetz nicht vor. Daher bedarf es keiner schwerwiegenden Persönlichkeitsrechtsverletzung (mehr) (LAG Frankfurt, Urteil vom 18.10.2020, Az. 16 Sa 380/20). Der Betroffene muss aber den Nachweis erbringen, dass ihm durch den DSGVO-Verstoß ein immaterieller Schaden entstanden ist (vgl. EuGH, Urteil vom 25.01.2024, C‑687/21 – MediaMarktSaturn, Rn. 58 und die dort angeführte Rechtsprechung; OLG Frankfurt, Urteil vom 02.03.2022, Az. 13 U 206/20). Nicht ausreichend sind allgemeine Darstellungen zu den Folgen der Offenbarung von personenbezogenen Daten (Kammergericht, Urteil vom 22.11.2023, Az. 28 U 5/23). Insbesondere enthält Art. 82 Abs. 1 DSGVO keine Vermutung dahingehend, dass der mit einem Verstoß gegen die Datenschutzgrundverordnung einhergehende Kontrollverlust über die eigenen Daten als solcher zu einem ersatzfähigen immateriellen Schaden führt (LArbG Baden-Württemberg, Urteil vom 27.07.2023, Az. 3 Sa 33/22). Auch die Hervorhebung besonderer Spannungen mit dem Auskunftsverpflichteten reicht für eine Darlegung eines Schadens nicht aus (BAG, Urteil vom 20.06.2024, Az. 8 AZR 124/23). Die bloß formelhafte Behauptung, einen „Kontrollverlust“ dadurch erlitten zu haben, im Ungewissen über die Verarbeitung seiner personenbezogenen Daten zu sein, genügt nach Auffassung des Bundessozialgerichts nicht (BSG, Urteil vom 24.09.2024, Az. B 7 AS 15/23 R). Genau entgegengesetzt entschied der Bundesgerichtshof im Leitentscheidungsverfahren zu Facebook Scraping (BGH, Urteil vom 18.11.2024, Az. VI ZR 10/24). Im ersten Urteil nach der Scraping-Entscheidung des BGH sprach das OLG Dresden dem Kläger 100 Euro Schadensersatz zu, entschied aber gleichzeitig, dass der Kläger bei einem Streitwert von 8.500 Euro 93% der Prozesskosten tragen müsse (OLG Dresden, Urteil vom 10.12.2024, Az. 4 U 808/24).
Ansprüche aus Art. 82 Abs. 1 und 2 DSGVO sollen keine höchstpersönlichen Ansprüche sein und deshalb abgetreten werden können (OLG Hamm, Urteil vom 24.07.2024, Az. 11 U 69/23).
Beispiele für Schadensersatz nach Art. 82 DSGVO
- 25 Euro Schadensersatz für unerlaubte E-Mailwerbung an geschäftliche E-Mailadresse (LG Heidelberg, Urteil vom 26.03.2022, Az. 4 S 1/21).
- Größenordnung von 100 Euro für Kontrollverlust über Daten nach Facebook Scraping (BGH, Urteil vom 18.11.2024, Az. VI ZR 10/24).
- 500 Euro Schadensersatz wegen unvollständiger und verspäteter Auskunft gegenüber dem Betroffenen zu den über ihn bei Facebook gespeicherten Informationen (OGH, Teilurteil vom 23.06.2021, Az. 6 Ob 56/21k).
- 500 Euro Schadensersatz wegen rechtswidriger Übersendung des Kontoabschlusses sowie Meldung einer unzutreffenden Adresse an die SCHUFA (OLG Frankfurt, Urteil vom 14.04.2022, Az. 3 U 21/20).
- 500 Euro Schadensersatz gegen Facebook wegen eines Datenlecks im Zuge von Daten-Scraping durch Dritte (LG Paderborn, Urteil vom 19.12.2022, Az. 3 O 99/22). Mehrere Gerichte waren hingegen anderer Auffassung und lehnten in diesem Kontext einen Schadensersatzanspruch gegen Facebook ab (LG Essen, Urteil vom 10.11.2022, Az. 6 O 111/22; LG Gießen, Urteil vom 05.11.2022, Az. 5 O 195/22; AG Strausberg, Urteil vom 13.10.2022, Az. 25 C 95/21).
- 1.000 Euro Schadensersatz pro unvollständig beantwortetem Auskunftsverlangen eines Mitarbeiters gegenüber seinem Arbeitgeber (LAG Berlin-Brandenburg, Urteil vom 18.11.2021, Az. 10 Sa 443/21).
- 1.500 Euro Schadensersatz für einen unberechtigten SCHUFA-Eintrag (OLG Dresden, Beschluss vom 29.08.2023, Az. 4 U 1078/23).
- 2.000 Euro Schadensersatz für die Versendung von nicht passwortgeschützten Gesundheitsdaten per E-Mail an falschen Empfänger (OLG Düsseldorf, Urteil vom 28.10.2021, Az. 16 U 275/20).
- 2.500 Euro Schadensersatz für Kunden des Brokers Scalable Capital wegen Verletzung von Sorgfaltspflichten nach Art. 32 DSGVO, weil unbekannte Dritte Kundeninformationen erbeutet hatten, u.a. Ausweisdaten, Name und Adresse, Wertpapierabrechnungen und steuerliche Daten (vgl. LG München, Urteil vom 09.12.2021, Az. 31 O 16606/20).
- 5.000 Euro Schadensersatz wegen eines unberechtigten Schufa-Eintrags (vgl. LG Mainz, Urteil vom 12.11.2021, Az. 3 O 12/20).
Beispiele für Ablehnung von Schadensersatzforderung
- Ein „Kontrollverlust“ reicht allein nicht für einen immateriellen Schaden im Sinne des Art. 82 DSGVO aus, wenn die hierauf abzielende Befürchtung nicht glaubhaft ist (OLG Dresden, Urteil vom 30.01.2024, Az. 4 U 1398/23).
- Das Vorenthalten einer Auskunft soll nicht zum Schadensersatz verpflichten, wenn nicht ersichtlich ist, inwieweit dem Betroffenen ein Schaden entstanden ist (vgl. LG Köln, Urteil vom 22.06.2022, Az. 25 O 9/22).
- Eine verspätete bzw. unterbliebene Datenauskunft führt nicht automatisch zu einem Anspruch auf Schadensersatz nach Art. 82 DSGVO, wenn der Betroffene mangels Erheblichkeit keinen spürbaren Nachteil erleidet (vgl. LG Leipzig, Urteil vom 23.12.2021, Az. 03 O 1268721).
- Behaupteter Verlust personenbezogener Daten auf einer Laptop-Festplatte, die wegen eines Defekts eingesandt und ohne Datensicherung vom Anbieter zerstört wurde. Der Kunde erhielt stattdessen eine neue Festplatte. Der Anbieter hatte darauf hingewiesen, dass eine Sicherung der Daten Sache des Kunden sei. Ob der Datenverlust ein ersatzpflichtiger Schaden war, wurde vom Gericht offengelassen (vgl. OLG Dresden, Urteil vom 31.08.2021, Az. 4 U 324/21).
- Nutzung von Fotos und Namen auf Internetseite ohne Einwilligung des Betroffenen. Keine ausreichende Darlegung zum Schadensersatz, stattdessen nur vager Vortrag zu Beeinträchtigungen (vgl. OLG Brandenburg, Beschluss vom 11.08.2021, Az. 1 U 69/20).
- Erstaunlicherweise kann auch eine Entschuldigung als angemessener Ersatz eines immateriellen Schadens nach Art. 82 DSGVO ausreichend sein (EuGH, Urteil vom 04.10.2024, Az. C‑507/23).
Unterschiedliche Entscheidungen
- Ob Betroffene des API-Bugs bei X (früher: Twitter) einen Anspruch auf DSGVO-Schadensersatzanspruch gegen X haben, wird unterschiedlich beurteilt. Aus Sicht des Landgerichts Stuttgart sind Informationen aus der Datenbank von haveibeenpwned.com kein ausreichender Nachweis im Sinne eines Vollbeweises (LG Stuttgart, Urteil vom 24.01.2024, Az. 27 O 92/23). Das Landgericht Freiburg sprach einem X-Nutzer in einem vergleichbaren Fall dagegen auf Basis des Treffers bei haveibeenpwned.com 100 Euro DSGVO-Schadensersatz zu (LG Freiburg, Urteil vom 08.02.2024, Az. 8 O 212/23).
☐ Schaffen Sie Strukturen, die es Ihnen ermöglichen, alle Betroffenenrechte innerhalb eines Monats zu bearbeiten. Organisieren Sie Ihre Datenbestände dazu so, dass sie angeforderte Daten schnell auffinden („Wo“), regeln Sie die Zuständigkeit für die Erfüllung der Pflichten („Wer“) und den Prozess der Antragsbearbeitung, insbesondere eine Identitätskontrolle und die Überprüfung der Anspruchsvoraussetzungen („Wie“). Eine Orientierung kann dieser Leitfaden bieten.
i) Recht auf Unterlassung
Die Durchsetzung eines Anspruchs auf Unterlassung bei einer rechtswidrigen Verarbeitung personenbezogener Daten im Sinne der Datenschutzgrundverordnung kann entweder auf §§ 823, 1004 BGB i.V.m. Art. 6 Abs. 1 DSGVO oder auf Art. 6 und 17 DSGVO i.V.m. Art. 79 DSGVO gestützt werden (OLG Frankfurt, Urteil vom 14.04.2022, Az. 3 U 21/20).
Bei rechtswidriger Verarbeitung personenbezogener Daten im Sinne der Datenschutzgrundverordnung ist nach ganz herrschender Meinung die Durchsetzung eines Anspruchs auf Unterlassung möglich (vgl. zum Meinungsstand Leibold/Laoutoumai: Unterlassungsanspruch unter der DS-GVO? ZD-Aktuell 2021, 05583).
Im Ergebnis sieht die herrschende Meinung einen Unterlassungsanspruch jedenfalls gemäß §§ 823, 1004 BGB (zum Teil i.V.m. Art. 6 Abs. 1 DSGVO) als gegeben an, da dieser nicht durch Art. 79 Abs. 1 DSGVO gesperrt ist (OLG Köln, Urteil vom 14.11.2019, Az. 15 U 126/19; Leibold/Laoutoumai aaO; a.A. VG Regensburg, Gerichtsbescheid vom 06.08.2020, Az. RN 9 K 19.1061). Nur so sei ein lückenloser Schutz hinsichtlich der Verarbeitung personenbezogener Daten von natürlichen Personen gewährleistet.
Aber auch aus der Datenschutzgrundverordnung ergibt sich ein Unterlassungsanspruch. Zwar sieht diese einen Unterlassungsanspruch nicht ausdrücklich vor. Allerdings wird in Art. 17 DSGVO ein Löschungsrecht normiert, aus dem in Verbindung mit Art. 79 DSGVO, der wirksame gerichtliche Rechtsbehelfe bei Verletzung der Datenschutzgrundverordnung garantiert, ein Unterlassungsanspruch hergeleitet werden kann (vgl. BGH, Urteil vom 12.10.2021, Az. VI ZR 489/19; BSG, Urteil vom 18.10.2018, Az. B 1 KR 31/17 R; dies gilt auch für einen Löschungsanspruch gegenüber der SCHUFA, vgl. OLG Karlsruhe, Urteil vom 23.02.2021, Az. 14 U 3/19).
Die Vermutung der Wiederholungsgefahr für einen Unterlassungsanspruch gegen einen Datenschutzverstoß im Zusammenhang mit einem Scraping-Vorfall bei Facebook ist aus Sicht des Oberlandesgerichts entkräftet, wenn die dafür verantwortliche Sicherheitslücke geschlossen und davon auszugehen ist, dass ein hierauf gestütztes Abfischen von Daten nicht mehr möglich ist (OLG Dresden, Urteil vom 10.12.2024, Az. 4 U 808/24). Dies stellt nach hiesiger Auffassung eine Fehlentscheidung dar.
j) Ersatz von Anwaltskosten
Betroffene können den Ersatz vorgerichtlicher Rechtsanwaltskosten verlangen (Art. 82 Abs. 1 DSGVO i.V.m. mit den zu § 249 Abs. 1 BGB entwickelten Grundsätzen). Das gilt jedenfalls bei unübersichtlicher Rechtslage, da die Inanspruchnahme eines Rechtsanwalts für den Betroffenen dann erforderlich und zweckmäßig ist. Dem Anspruch des Geschädigten auf Ersatz vorgerichtlicher Rechtsanwaltskosten ist im Verhältnis zum Schädiger grundsätzlich der Gegenstandswert zugrunde zu legen, der dem berechtigten Unterlassungs- und Schadensersatzanspruchs entspricht (vgl. OLG Frankfurt, Urteil vom 14.04.2022, Az. 3 U 21/20 mit Verweis auf: BGH, Urteil vom 12.12.2017, Az. VI ZR 611/16).
Beispiel für Streitwert: 1.000 Euro, bestehend aus 500 Euro Schadensersatz zuzüglich 500 Euro Unterlassung (OLG Frankfurt, Urteil vom 14.04.2022, Az. 3 U 21/20).
5. Auftragsverarbeitung
Wenn Sie die Datenverarbeitung (teilweise) an Dritte (sog. Auftragsverarbeiter) ausgegliedert haben, sind Sie gemäß Art. 28 Abs. 3 DSGVO verpflichtet, einen Vertrag (oder einen anderen Rechtsakt, z.B. eine Verpflichtung) mit dem Auftragsverarbeiter abzuschließen, der gewährleistet, dass der Auftragsverarbeiter nur im Rahmen Ihrer Weisungen handelt und die Daten rechtmäßig verarbeitet.
Ausführliche Informationen finden Sie bei der DSK.
☐ Falls Sie einen Auftragsverarbeiter beschäftigen: überprüfen Sie den bestehenden Auftragsverarbeitungsvertrag im Hinblick auf die Anforderungen des Art. 28 Abs. 3 DSGVO und schließen Sie gegebenenfalls einen neuen Auftragsverarbeitungsvertrag ab. Nutzen Sie hierzu die folgenden kostenlosen Muster.
Überblick: Beispiele für Auftragsverarbeitungen
- Verarbeitung von personenbezogenen Daten mit Hilfe von Cloud-Servern, auch wenn der Cloud-Betreiber keinen inhaltlichen Zugriff auf die Daten hat.
- Entsorgung von Datenträgern durch einen externen Dienstleister.
- Auslagerung von Backup-Kopien und Datenarchiven.
- Lettershop versendet Werbematerial mit Hilfe von Ihnen zur Verfügung gestellten Kundendaten.
6. Datentransfer
Weitere Besonderheiten gelten für Datenübermittlungen in Drittstaaten, also Länder, in denen die DSGVO nicht gilt. Überprüfen Sie diesbezüglich insbesondere die von Ihnen genutzten Cloudservices. Unproblematisch ist die Datenübermittlung, wenn die EU-Kommission das Datenschutzniveau in den entsprechenden Ländern für angemessen erachtet (Art. 45 Abs. 3 DSGVO).
Für Länder mit problematischer Datenschutzlage muss sichergestellt werden, dass der Empfänger im Drittland geeignete Garantien zur Einhaltung der Datenschutzregeln vorgesehen hat (Art. 46 DSGVO). Ist dies nicht der Fall, dürfen die Daten nur in den Ausnahmefällen des Art. 49 DSGVO (insbesondere: Einwilligung der betroffenen Person) übermittelt werden.
Der Europäische Gerichtshof (EuGH) hat im Juli 2020 überraschend das für die Übermittlung von personenbezogenen Daten zwischen der EU und den USA geschlossene Abkommen Privacy Shield für ungültig erklärt.
☐ Überprüfen Sie (sofern einschlägig) die Rechtmäßigkeit von Datenübermittlungen in Drittländer und treffen Sie gegebenenfalls erforderliche Maßnahmen.
7. Datensicherheit
Vom Datenschutz im engeren Sinne zu unterscheiden ist die Datensicherheit. Bei der Datensicherheit geht es nicht mehr darum, welche Daten von wem wie verarbeitet werden dürfen, sondern wie die Daten beim Verantwortlichen vor dem unbefugten Zugriff durch Dritter oder dem Verlust und der Veränderung aufgrund technischer Pannen geschützt werden.
Art. 32 DSGVO fordert, dass der Verantwortliche „geeignete technische und organisatorische Maßnahmen“ muss, um ein angemessenes Schutzniveau zu gewährleisten. Wie hoch das Schutzniveau sein muss, bestimmt sich gemäß Art. 32 Abs. 2 DSGVO danach, wie hoch die Risiken der Datenverarbeitung sind, also welche Folgen drohen, wenn die Daten verloren gehen oder unbefugt von Dritten ausgelesen werden.
a) Technische und organisatorische Maßnahmen
Art. 32 HS. 2 DSGVO nennt eine Reihe von technischen und organisatorischen Maßnahmen, die ergriffen werden können:
- Pseudonymisierung und Verschlüsselung von Daten (lit. a)
- Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der verwendeten Systeme (lit. b)
- Wiederherstellbarkeit der Verfügbarkeit von Daten nach einem Zwischenfall (lit. c)
- Verfahren zur regelmäßigen Überprüfung und Bewertung der Maßnahmen (lit. d)
Diese Begriffe sind mit Ausnahme der Pseudonymisierung von Daten unkonkret. Weil die Anforderungen an die Datensicherheit je nach Art und Umfang der Datenverarbeitung höher oder geringer sind, muss das Datensicherheitssystem letztlich immer im Einzelfall ausgerichtet werden.
Entscheidend ist, dass die Daten unter Berücksichtigung des Stands der Technik grundsätzlich vor Hackerangriffen und ähnlichen Zwischenfällen geschützt sind. Als Mindestmaß sollte jedes Unternehmen den Zugang zu personenbezogenen Daten mit personalisierten Passwörtern schützen, ein Virenprogramm und eine Firewall auf seinen Computern installiert haben sowie seine Kommunikation verschlüsseln.
Überblick: Auswahl technischer & organisatorischer Maßnahmen
I. Bewertung des Risikos
Ausgangspunkt ist die Einstufung des Risikos einer Datenverletzung. Hierzu sind zwei Fragen entscheidend:
- Wie schwer würde eine Datenverletzung die betroffene Person in ihren Rechten und Freiheiten betreffen? Hier geht es um die Bewertung der Bedeutung der Daten. Je wichtiger (= persönlicher/sensibler) diese sind, desto schwerer trifft auch eine Datenverletzung die betroffene Person.
- Wie hoch ist die Wahrscheinlichkeit, dass eine Datenverletzung eintritt? Hier sind nicht die Daten, sondern die Art der Verarbeitung entscheidend. Sie müssen feststellen, wie gefährlich die von Ihnen gewählte Datenverarbeitung ist, also wie häufig bei der gewählten Verarbeitungsart Datenpannen auftreten. Beispielsweise ist eine Datenverletzung viel wahrscheinlicher, wenn Daten per E-Mail an Dritte übermittelt werden, als wenn sie nur lokal auf einem Rechner in einer Excel-Tabelle gespeichert werden.
II. Auswahl der Maßnahmen
Je nachdem, wie hoch Sie das Risiko einer Datenverletzung eingestuft haben, müssen Sie entsprechend viele und starke Maßnahmen treffen. In Betracht kommen beispielsweise folgende Maßnahmen:
- Pseudonymisierung: Das bedeutet, dass personenbezogene Daten der unmittelbare Personenbezug genommen wird, indem sie nicht mehr mit dem Namen der Person verbunden gespeichert werden, sondern stattdessen mit einem Platzhalter (=Pseudonym). Beispiele sind die Vergabe von Nutzernamen oder Nutzer-IDs.
- Verschlüsselung: Hier geht es darum, den Zugriff zu Daten zu erschweren, indem die Daten die meiste Zeit verschlüsselt (und somit nicht für jeden einsehbar) verarbeitet werden. Anwendungsbeispiele sind eine Verschlüsselung von E-Mails oder auch die Anforderung eines Passworts zur Einsehbarkeit der Daten auf einem lokalen Computer, im Zusammenhang mit Art. 25 DSGVO (und § 13 Abs. 7 TMG) auch die SSL-Verschlüsselung von Websites mit Kontaktformular.
- Maßnahmen zur Sicherstellung der Vertraulichkeit: Hier geht es darum, dass der Personenkreis, der Zugriff auf die Daten hat, eingeschränkt wird. Technisch geht dies bspw. durch Verschlüsselung der Daten, aber auch die Erschwerung des physischen Zugriffs auf Daten (z.B. Aufbewahrung in einem besonders gesicherten Raum). Organisatorisch kann vor allem gewährleistet werden, dass nur wenige bestimmte Personen die Rechte für einen Datenzugriff haben. Auch kann bspw. die Datenübermittlung auf bestimmte sichere Kommunikationskanäle beschränkt werden.
- Maßnahmen zur Sicherstellung der Integrität: Die Integrität von Systemen kann z.B. durch Einschränkung von Schreib- und Änderungsrechten und den Einsatz von elektronischen Siegeln und Signaturen gewährleistet werden.
- Maßnahmen zur Sicherstellung der Verfügbarkeit: Verfügbarkeit von Daten bezieht sich insbesondere auf den Verlust von Daten durch technische Pannen. Hier kann ein Backup, z.B. in einer gesicherten Cloud, die Verfügbarkeit der Daten sichern.
- Maßnahmen zur Sicherstellung der Belastbarkeit: Die Belastbarkeit der Systeme kann z.B. durch regelmäßige Sicherheitschecks gewährleistet werden.
Wählen Sie je nach Risiko der Datenverarbeitung mehrere Maßnahmen aus und setzen Sie diese um. Hierbei dürfen Sie nach der DSGVO auch die Kosten und die Leistungsfähigkeit Ihres Unternehmens berücksichtigen.
☐ Treffen Sie technische und organisatorische Maßnahmen, um für die von ihnen verarbeiteten Daten ein angemessenes Schutzniveau zu sichern. Achten Sie insbesondere darauf, wer Zugriff auf die Daten hat und dass Ihre Computer vor Hacking-Angriffen geschützt ist.
- Eine übersichtliche Anleitung finden Sie hier.
- Ausführlicher Leitfaden des BSI zur IT-Sicherung
- Standard-Datenschutzmodell des Bundesdatenschutzbeauftragten
b) Reaktionsmechanismen bei Datenverletzungen: Meldepflicht
Sollte es trotz der getroffenen Maßnahmen zu einer Datenpanne kommen, sind Sie verpflichtet, diese Panne binnen 72 Stunden der zuständige Aufsichtsbehörde und unter Umständen auch der betroffenen Person zu melden (Art. 33, 34 DSGVO). Wann die Meldefrist zu laufen beginnt, beurteilen die Landesbeauftragten für Datenschutz und Informationssicherheit (LfDIs) unterschiedlich.
Voraussetzungen der Meldepflicht: Sie müssen melden, wenn eine Verletzung des Schutzes personenbezogener Daten eingetreten ist. Wann dies der Fall ist, regelt § 4 Nr. 12 DSGVO. Es bedarf eines Sicherheitsdefizits, das egal ob rechtswidrig oder unbeabsichtigt entweder:
- zur Vernichtung
- zum Verlust
- zur Veränderung
- zur unbefugten Offenlegung oder
- zum unbefugten Zugang
von/zu personenbezogenen Daten führt. Eine Ausnahme von der Meldepflicht besteht, wenn die Datenschutzverletzung voraussichtlich zu keinem Risiko für Rechte und Freiheiten der betroffenen Person führt. Hier müssen sie selbst eine Prognose über die Auswirkungen der Datenpanne anstellen.
Beispiel für eine wahrscheinlich risikolose Datenverletzung: Ein Unternehmen betreibt einen E-Mailverteiler mit zehn Kunden für ein anstehendes Projekt. Die Empfänger können jeweils auch die anderen Adressaten des Verteilers einsehen. Da dafür keine Einwilligung und auch sonst kein Rechtfertigungsgrund vorliegt, handelt es sich jeweils um eine unbefugte Offenlegung der E-Mailadresse gegenüber den anderen Kunden. Es gehen aber aller Voraussicht nach keine Risiken für die Kunden von dieser Datenverletzung aus, so dass keine Meldung an die Aufsichtsbehörden erfolgen muss.
Adressat der Meldung: In jedem Fall sind Datenverletzungen an die Aufsichtsbehörde zu melden (Art. 33 DSGVO). Hat die Datenschutzverletzung auch ein hohes Risiko für die betroffene Person zur Folge, so ist auch diese zu benachrichtigen (Art. 34 DSGVO), es sei denn, dass einer der Ausschlussgründe des Art. 34 Abs. 3 DSGVO vorliegt.
Inhalt der Meldung: Die Meldung muss gemäß Art. 33 Abs. 3, 34 Abs. 2 DSGVO enthalten:
- Beschreibung der Datenpanne (für die betroffenen Person in einfacher Sprache),
- Namen und Kontaktdaten des Datenschutzbeauftragten oder einer anderen Anlaufstelle,
- Beschreibung der wahrscheinlichen Folgen des Zwischenfalls
- Beschreibung der von Ihnen ergriffenen Maßnahmen zur Behebung der Datenverletzung
Meldefrist: Die Meldung an die Behörde muss innerhalb von 72 Stunden, nachdem Ihnen die Verletzung bekannt geworden ist, an die Aufsichtsbehörde gemeldet werden. Halten Sie diese Frist nicht ein, müssen Sie dies begründen (Art. 33 Abs. 1 DSGVO).
Überblick: Meldepflicht
- erforderlich bei Datenverletzung (Hackerangriffen oder Datenverlusten bei Systemstörungen), außer es besteht kein Risiko für die betroffene Person.
- zu richten an zuständige Aufsichtsbehörde (Landesdatenschutzbeauftragte/r); ggf. auch an betroffene Person.
- innerhalb von 72 Stunden.
☐ Stellen Sie sicher, dass Sie bei einer Verletzungen der Datensicherheit die Meldepflichten beachten, z.B. durch Zuweisung der Aufgabe oder Vermerk in einem internen Leitfaden.
8. Dokumentation (Datenschutzkonzept)
Art. 5 Abs. 2 DSGVO regelt eine Rechenschaftspflicht für den Verantwortlichen. Danach müssen Sie in der Lage sein, nachzuweisen, dass Sie die Grundsätze der Datenverarbeitung einhalten. Weil sich diese Grundsätze in allen konkreten Normen der DSGVO wiederfinden, wird ein Verstoß gegen eine DSGVO-Vorschrift immer auch einen Verstoß gegen einen Grundsatz nach Art. 5 DSGVO beinhalten. Im Umkehrschluss müssen Sie also nachweisen können, dass Sie sich an die DSGVO halten. Dies wird konkretisiert durch Art. 24 Abs. 1 DSGVO. Danach sind Sie als Verantwortlicher verpflichtet, geeignete technische und organisatorische Maßnahmen zu treffen, um den Nachweis erbringen zu können, dass Sie die DSGVO umsetzen.
a) Dokumentieren Sie alle relevanten Maßnahmen
Den Nachweispflichten der DSGVO können Sie nur durch eine umfassende Dokumentation aller getroffenen Maßnahmen auf dem Gebiet des Datenschutzes nachkommen. Halten Sie deshalb genau fest, wie Sie diese Checkliste umsetzen.
b) Datenverarbeitungsverzeichnis
Eine besondere Form der Dokumentationspflicht ist das Datenverarbeitungsverzeichnis nach Art. 30 DSGVO. Hier müssen Sie alle Datenverarbeitungen in einer bestimmten (in Art. 30 DSGVO näher geschilderten) Weise festhalten. Dankenswerterweise stellen die deutschen Datenschutzbehörden hierzu eine offizielle Mustervorlage zur Verfügung.
Zwar gibt es in Art. 30 Abs. 5 DSGVO grundsätzlich auch Ausnahmen. Diese sind allerdings so vage gehalten, dass wir dringend empfehlen, in jedem Fall ein Datenverarbeitungsverzeichnis anzulegen. Das Datenverarbeitungsverzeichnis hilft Ihnen zum einen, der generellen Dokumentationspflicht nachzukommen, zum anderen wird es Ihnen nach Durchführung von Punkt 1 der Checkliste keinen nennenswerten Aufwand mehr bereiten.
Überblick: Musteraufbau eines Datenverarbeitungsverzeichnisses
I. Vorblatt mit allgemeinen Angaben
- Angaben zum verantwortlichen Unternehmen: Kontaktdaten, Vertreter, ggf. Registergericht und Nummer
- Kontaktdaten des Datenschutzbeauftragten
- allgemein getroffene technische und organisatorische Maßnahmen zur Datensicherheit
II. Verarbeitungstätigkeit 1 (z.B. Lohnabrechnung)
- ggf. verantwortliche Abteilung und Ansprechpartner,
- Zwecke der Verarbeitung (z.B. Durchführung des Arbeitsvertrags, § 26 Abs. 1 S. 1 BDSG),
- Beschreibung der Kategorien betroffener Personen (z.B. Beschäftigte),
- Beschreibung der Kategorien von personenbezogenen Daten (z.B. Name, Tätigkeit, Beschäftigungsverhältnis, Personalnummer, Vertragsnummer, Kontodaten, Gehalt),
- Kategorien von Empfängern, ggü. denen die Daten offengelegt worden sind oder noch werden (z.B. Bank, Sozialversicherung, Finanzamt) und Nennung der konkreten Empfänger (z.B. Sparda-Bank Mainz, Finanzamt Mainz-Mitte),
- Fristen für die Löschung der verschiedenen Datenkategorien (z.B. 10 Jahre),
- ggf. Technische und organisatorische Maßnahmen (Verweis auf allgemein getroffene technische und organisatorische Maßnahmen).
III. Verarbeitungstätigkeit 2 (z.B. Vertragsdatenmanagement)
→ wie II.
Diese Informationen lassen sich gut in die Mustervorlage der deutschen Datenschutzbehörden einbauen.
c) Optional: Zusammenfassung der Dokumentationen als Datenschutzkonzept
Wenn Sie alle wesentlichen Vorgänge dokumentiert haben, kann es sich lohnen, dies zu einem umfassenden Datenschutzkonzept ihres Unternehmens zusammenzufassen. Ein Datenschutzkonzept ist nicht verpflichtend, bündelt aber zum einen Ihre Dokumentationen an einem Ort und kann zum anderen positiv auf die Außenwirkung Ihres Unternehmens einzahlen.
d) Besondere Dokumentationspflichten
Über die vorstehenden Punkte hinaus regelt die DSGVO eine Vielzahl an spezielleren Dokumentations- und Nachweispflichten, zum Beispiel die Dokumentation von Datenpannen (Art. 33 Abs. 5 DSGVO), die Dokumentation von Weisungen im Rahmen der Auftragsverarbeitung (Art. 28 Abs. 3 lit. a DSGVO) oder die Pflicht zum Nachweis der Einwilligung der betroffenen Person (Art. 7 Abs. 1 DSGVO).
Wenn Sie wie von uns empfohlen ohnehin alle wesentlichen Schritte dokumentieren, müssen Sie aber diesbezüglich keine weiteren Maßnahmen treffen.
Vertiefende Links:
☐ Halten Sie alle Schritte zur Einhaltung der DSGVO auf eine Weise fest, dass Sie deren Umsetzung nachweisen können.
Lassen Sie sich beispielsweise Schulungen von Mitarbeitern schriftlich bestätigen, holen Sie Einwilligungen nur schriftlich ein, dokumentieren Sie die Bearbeitung von Anträgen betroffener Personen (z.B. durch Abspeichern des E-Mail-Verkehrs) und lassen Sie sich den Erhalt von Informationsschreiben (nach Art. 13, 14 DSGVO) bestätigen.
☐ Legen Sie ein Datenverarbeitungsverzeichnis an und aktualisieren Sie es regelmäßig. Nutzen Sie hierzu folgende Vorlage der deutschen Aufsichtsbehörden.
☐ Optional: Fassen Sie alle dokumentierten Schritte zu einem Datenschutzkonzept zusammen. Nutzen Sie dafür eine Vorlage.
9. Schulung und Verpflichtung von Beschäftigten
Gemäß Art. 29, 32 Abs. 4 DSGVO sind Sie als Verantwortlicher für die Einhaltung des Datenschutzes durch Ihre Beschäftigte verantwortlich. Die Datenschutzaufsichtsbehörden empfehlen hier insbesondere eine Verpflichtung Ihrer Mitarbeiter auf die Einhaltung der Regeln des Datenschutzes. Dem sollte eine zumindest kurze Schulung vorangehen, um den richtigen Umgang auch tatsächlich zu gewährleisten.
☐ Schulen Sie Ihre Beschäftigten in den wesentlichsten Prinzipien des Datenschutzes. Orientierung kann folgende Vorlage bieten.
☐ Verpflichten Sie Ihre Beschäftigten auf die Einhaltung des Datenschutzes. Nutzen Sie dafür die Vorlage der Deutschen Datenschutzkonferenz.
10. Bußgelder bei DSGVO-Verstößen
Die Landesbeauftragten der Datenschutzbehörden können bei DSGVO-Verstößen Bußgelder verhängen, sofern diese schuldhaft begangen wurden, also vorsätzlich oder fahrlässig (EuGH, Urteile vom 05.12.2023, Az. C-683/21 – Nacionalinis visuomenės sveikatos centras und Az. C-807/21 – Deutsche Wohnen). Auf der anderen Seite müssen die Datenschutzbehörden bei Verstößen nicht immer Abhilfemaßnahmen ergreifen und insbesondere eine Geldbuße verhängen, wenn der Verantwortliche bereits wirksame Maßnahmen ergriffen hat (EuGH, Urteil des Gerichtshofs in der Rechtssache C-768/21 | Land Hessen (Handlungspflicht der Datenschutzbehörde).
Über die Höhe des jeweiligen Bußgelds wird einzelfallabhängig entschieden. Ziel ist nach Art. 83 Abs. 1 DSGVO, dass das Bußgeld wirksam, verhältnismäßig und abschreckend ist. Art. 83 Abs. 2 DSGVO nennt die Kriterien, nach denen die Höhe der Geldbuße festzulegen ist, unter anderem Art, Schwere und Dauer des Verstoßes, vorsätzliche oder fahrlässige Begehung, aber beispielsweise auch, ob und welche technischen und organisatorischen Maßnahmen (TOM) vom Verantwortlichen umgesetzt worden waren.
Der Bußgeldrahmen der DSGVO ist drastisch. Bei Verstößen gegen die in Art. 83 Abs. 4 DSGVO genannten Regelungen können Geldbußen von bis zu 10.000.000 Euro oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, je nachdem, welcher der Beträge höher ist. Bei Verstößen gegen die in Art. 83 Abs. 5 DSGVO genannten Regelungen können sogar Geldbußen von bis zu 20.000.000 Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist. Gehört das Unternehmen zu einem Konzern, ist für die Höhe des Bußgelds der Jahresumsatz des Konzerns maßgeblich (EuGH, Urteile vom 05.12.2023, Az. C-683/21 – Nacionalinis visuomenės sveikatos centras und Az. C-807/21 – Deutsche Wohnen).
Ein konkretes, allerdings nicht mit anderen EU-Datenschutzbehörden abgestimmtes Konzept zur Bußgeldzumessung in Verfahren gegen Unternehmen wurde von der Datenschutzkonferenz (DSK) veröffentlicht (siehe auch die Pressemitteilung der DSK). Das Konzept besteht im Kern aus fünf Schritten:
- Schritt: Zuordnung des betroffenen Unternehmens zu einer Größenklasse,
- Schritt: Bestimmung des mittleren Jahresumsatzes der jeweiligen Untergruppe der Größenklasse,
- Schritt: Ermittlung eines wirtschaftlicher Grundwerts,
- Schritt: Multiplikation des Grundwerts mit einem von der Schwere der Tatumstände abhängigen Faktor,
- Schritt: Anpassung des in Schritt 4. ermittelten Werts anhand täterbezogener und sonstiger noch nicht berücksichtigter Umstände.
11. Gerichtliche Zuständigkeiten
Nach Art. 79 Abs. 1 DSGVO sind für Klagen gegen einen Verantwortlichen oder gegen einen Auftragsverarbeiter die Gerichte des Mitgliedstaats zuständig, in dem der Verantwortliche oder der Auftragsverarbeiter eine Niederlassung hat. Wahlweise können solche Klagen auch bei den Gerichten des Mitgliedstaats erhoben werden, in dem die betroffene Person ihren gewöhnlichen Aufenthaltsort hat, es sei denn, es handelt sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde eines Mitgliedstaats, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist.
Aus Art. 79 Abs. 2 DSGVO folgt kein Wahlrecht bei der örtlichen Zuständigkeit. Die Vorschrift regelt lediglich besondere Gerichtsstände im Sinne der internationalen Zuständigkeit. Die Regelungen zur innerstaatlichen Zuständigkeit verbleiben im Verantwortungsbereich der Mitgliedstaaten. Die sachliche und örtliche Zuständigkeit des in Deutschland angerufenen Gerichts bemisst sich deshalb weiterhin nach nationalem Recht. Nach nationalem Recht kann ggf. ein Wahlrecht des Klägers bezüglich des örtlich zuständigen Gerichts gemäß § 44 BDSG bestehen. Art. 79 Abs. 2 DSGVO wird nämlich durch § 44 Abs. 1 und 2 BDSG um Regelungen zur innerstaatlichen örtlichen Zuständigkeit für zivilrechtliche Klagen ergänzt, die die Regelungen zur internationalen Zuständigkeit eins zu eins auf die innerstaatliche örtliche Zuständigkeit übertragen. Nach § 44 Abs. 1 Satz 1 BDSG können Klagen der betroffenen Person gegen einen Verantwortlichen oder einen Auftragsverarbeiter wegen eines Verstoßes gegen datenschutzrechtliche Bestimmungen im Anwendungsbereich der DSGVO oder der darin enthaltenen Rechte der betroffenen Person zum einen bei dem Gericht des Ortes erhoben werden, an dem sich eine Niederlassung des Verantwortlichen oder Auftragsverarbeiters befindet. Zum anderen können Klagen nach Satz 1 gemäß § 44 Abs. 1 Satz 2 BDSG aber auch bei dem Gericht des Ortes erhoben werden, an dem die betroffene Person ihren gewöhnlichen Aufenthaltsort hat (vgl. Hessischer VGH, Beschluss vom 01.12.2022, Az. 10 B 1898/22)
Benötigen Sie professionelle Unterstützung bei der Umsetzung der DSGVO-Vorgaben in Ihrem Unternehmen? Nutzen Sie unsere kostenlose und unverbindliche Ersteinschätzung.
Hinweis: Dieser Beitrag wurde unter Mitwirkung unseres wissenschaftlichen Mitarbeiters Felix Wichert erstellt.
Punkt 1. erster Satz:
Die DSGVO dient dem Schutz personenbezogener Daten.
Nein, tut sie nicht! Autsch!
Art. 1 EU DSGVO
(1) Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
(2) Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.
Hehe, vielen Dank für Ihren Hinweis. Das ist richtig, aber es bleibt ja nicht beim ersten Satz. Ich denke, man darf dem User zumuten, dass er weiter liest. Nachfolgend wird ja insbesondere die Verarbeitung von personenbezogenen Daten erläutert. Vielleicht als Hintergrund: Bei einem Artikel zur DSGVO, der für Nichtjuristen verständlich sein soll, ist es in der Tat schwierig zu beurteilen, wie „juristisch“ der Text formuliert sein darf, ohne Leser abzuschrecken. Aus meiner Sicht ist eine gewisse Vereinfachung zugunsten der Verständlichkeit okay. Natürlich kann man aber darüber streiten, wie weit eine Vereinfachung reichen darf. Ich bin also gar nicht anderer Meinung als Sie. Um es kurz zu machen: im Gegensatz zu unserem Text ist Ihr Hinweis juristisch absolut korrekt – und gleichzeitig schwerer verständlich ;)
Tolle Zusammenstellung. Für mich als Startup-Unternehmer leicht verständlich, ohne Jurist noch Datenschutz-Freak zu sein. Mit der Abarbeitung habe ich das Gefühl, dass ich habe mich um das Wichtigste zum Thema Datenschutz gekümmert habe. Ich selbst will mir für diese Tätigkeiten keine 1 geben, aber eine 2 wird das mit diesem Guide allemal :-)
Das freut uns, vielen Dank für das nette Feedback.
Riesen Lob für den tollen und sehr gelungenen Artikel Herr Plutte. Leicht verständlich und super strukturiert dargestellt.
Vielen Dank!!
Danke für Ihr nettes Lob, freut mich.
Hallo Herr Plutte, vielen Dank für die hilfreichen Tipps. Ich habe mir einen Consent Management Tool (https://www.consentmanager.de/) vor kurzem gebucht und bin gerade dabei alles vorzubereiten, bevor meine Website live geht. Ihre Tipps werde ich natürlich noch umsetzen, damit ich dann alles DSGVO-konform habe. Sollte ich noch einen Anwalt buchen, der alles noch aus rechtlicher Sicht prüft?
Guten Tag, wenn Sie möchten, können Sie über avalex.de Rechtstexte hinzubuchen, die sich automatisch an die aktuelle Rechtslage anpassen. Ob Ihre Website insgesamt rechtssicher gestaltet ist, kann umfassend nur durch einen Rechtsanwalt überprüft werden, den Sie ggf. zusätzlich beauftragen müssten.
Sehr interessant, mit einem Rechtsanwalt ist man auf jeden Fall auf der sicheren Seite. Um sich Kosten zu sparen, habe ich einige Geräte z.B. als „refurbished“ Ware bestellt. Kann ich absolut empfehlen, schadet dem Gewissen auch nicht.
Immer noch informativ, dennoch in Bezug zu Umfang des Auskunftanspruches, Kopie und Rechtsmissbrauch, rechtlich überholt. Ich kann in diesem Zusammenhang das Urteil EuGH C-307/22 vom 26.10.2023 und dazu passend Urteil OLG Nürnberg 4 U 347/21vom 29.11.2023 empfehlen.