Die Datenschutzgrundverordnung VO EU 2016/679 Impressum

Transkript

1 Die Datenschutzgrundverordnung VO EU 2016/679 Impressum Leitfaden zur Umsetzung in kommunalen Verwaltungen

2 Impressum Herausgeber: Kommunale Datenverarbeitung Hochschule für öffentliche Verwaltung Region Stuttgart und Finanzen Ludwigsburg Rechenzentrum Region Stuttgart GmbH Krailenshaldenstraße 44 Reuteallee Stuttgart Ludwigsburg Redaktion: Ansprechpartner: Hubert Röder Geschäftsbereich Datenschutz Internet: Prof. Dr. Robert Müller-Török Fakultät I Management und Recht Internet: mueller-toeroek@hs-ludwigsburg.de Verteilerhinweis: Das Dokument ist barrierefrei und für jedermann frei zugänglich. Änderungen dürfen aber nicht vorgenommen werden und bei Vervielfältigung oder öffentlicher Wiedergabe ist 5 Abs. 2 UrHG (Quellenangabe) zu beachten. KDRS/RZRS

3 Inhaltsübersicht Inhaltsbezeichnung Seite Erläuterung zum Zweckverband Kommunale Datenverarbeitung Region Stuttgart8 Hintergründe... 8 Zusammenfassung... 9 Einordnung in den gesamten Rechtsrahmen Abschnitt 1: Anwendungsbereich der EU-DSGVO I. Differenzierung nach Anwendungsbereichen a) Gemeinden b) Landkreise c) Zweckverbände d) Eigenbetriebe e) Beteiligungsunternehmen II. Anwendungsbereich nach Ämtern einer Kommune III. Allgemeine Bestimmungen zum Anwendungsbereich IV. Erläuterung der Begriffsbestimmungen des Artikels Abschnitt 2: Rechte der Betroffenen Artikel 13 Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person I. Erklärung der Rechtsnorm II. Empfehlungen zur Umsetzung III. Interessante Fragen Artikel 14 - Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden I. Erklärung der Rechtsnorm II. Empfehlungen zur Umsetzung III. Interessante Fragen Artikel 15 - Auskunftsrecht der betroffenen Person I. Erklärung der Rechtsnorm II. Empfehlungen zur Umsetzung III. Interessante Fragen Artikel 16 - Recht auf Berichtigung I. Erklärung der Rechtsnorm II. Empfehlungen zur Umsetzung III. Interessante Fragen Artikel 17 - Recht auf Löschung ( Recht auf Vergessenwerden ) I. Erklärung der Rechtsnorm II. Empfehlungen zur Umsetzung III. Interessante Fragen... 55

4 Inhaltsübersicht Inhaltsbezeichnung Seite Artikel 18 - Recht auf Einschränkung der Verarbeitung I. Erklärung der Rechtsnorm II. Empfehlungen zur Umsetzung Artikel 19 - Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung56 I. Erklärung der Rechtsnorm II. Empfehlungen zur Umsetzung Artikel 20 - Recht auf Datenübertragbarkeit I. Erklärung der Rechtsnorm II. Empfehlungen zur Umsetzung III. Interessante Fragen Artikel 21 Widerspruchsrecht I. Erklärung der Rechtsnorm II. Interessante Fragen Artikel 22 - Automatisierte Entscheidungen im Einzelfall einschließlich Profiling59 I. Erklärung der Rechtsnorm II. Empfehlungen zur Umsetzung Artikel 23 Beschränkungen I. Erklärung der Rechtsnorm II. Empfehlungen zur Umsetzung Artikel 77 - Recht auf Beschwerde bei einer Aufsichtsbehörde I. Erklärung der Rechtsnorm II. Empfehlungen zur Umsetzung III. Interessante Fragen Artikel 82 - Haftung und Recht auf Schadenersatz I. Erklärung der Rechtsnorm II. Empfehlungen zur Umsetzung III. Interessante Fragen Abschnitt 3: Pflichten der Verantwortlichen und Auftragsverarbeiter Pflichten der Verantwortlichen auf einen Blick Art Verantwortung des für die Verarbeitung Verantwortlichen I. Erklärung der Rechtsnorm II. Empfehlung zur Umsetzung I. Interessante Fragen Art Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen I. Erklärung der Rechtsnorm II. Empfehlung zur Umsetzung... 70

5 Inhaltsübersicht Inhaltsbezeichnung Seite Art Gemeinsam für die Verarbeitung Verantwortliche I. Erklärung der Rechtsnorm II. Erklärung der Rechtsnorm Art Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern I. Erklärung der Rechtsnorm Art. 28 Auftragsverarbeiter I. Erklärung der Rechtsnorm II. Empfehlung zur Umsetzung III. Interessante Fragen Art Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters I. Erklärung der Rechtsnorm II. Empfehlung zur Umsetzung Art Verzeichnis von Verarbeitungstätigkeiten I. Erklärung der Rechtsnorm II. Empfehlung zur Umsetzung Art. 31 Zusammenarbeit mit der Aufsichtsbehörde I. Erklärung der Rechtsnorm II. Empfehlung zur Umsetzung Artikel 32 Sicherheit der Verarbeitung I. Erklärung der Rechtsnorm II. Empfehlungen zur Umsetzung: Artikel 33 - Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde I. Erklärung der Rechtsnorm II. Empfehlungen zur Umsetzung Artikel 34 - Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person I. Erklärung der Rechtsnorm Artikel 35 - Datenschutz-Folgenabschätzung I. Erklärung der Rechtsnorm II. Was ist eine Datenschutz-Folgenabschätzung? III. Empfehlungen zur Umsetzung Artikel 36 - Vorherige Konsultation I. Erklärung der Rechtsnorm II. Empfehlungen zur Umsetzung... 95

6 Inhaltsübersicht Inhaltsbezeichnung Seite III. Übersicht der Pflichten für den Verantwortlichen aus EU- DSGVO Art Benennung eines Datenschutzbeauftragten I. Erklärung der Rechtsnorm II. Empfehlungen zur Umsetzung Art Stellung des Datenschutzbeauftragten I. Erklärung der Rechtsnorm II. Empfehlung zur Umsetzung Art Aufgaben des Datenschutzbeauftragten I. Erklärung der Rechtsnorm II. Empfehlung zur Umsetzung Art Verhaltensregeln I. Erklärung der Rechtsnorm II. Empfehlung zur Umsetzung Art. 41 Überwachung der genehmigten Verhaltensregeln I. Erklärung der Rechtsnorm II. Empfehlung zur Umsetzung Art Zertifizierung I. Erklärung der Rechtsnorm II. Empfehlung zur Umsetzung Art. 43 Zertifizierungsstellen I. Erklärung der Rechtsnorm II. Empfehlung zur Umsetzung Abschnitt 4 - Aufsichtsbehörden und Sanktionen gegen Kommunen (Artikel 51-84) 109 I. Vorwort 109 II. Konstruktion der Aufsichtsbehörden III. Befugnisse der Aufsichtsbehörde Untersuchungsbefugnisse Abhilfebefugnisse Genehmigungsbefugnisse VI. Zuständigkeit V. Rechtsbehelfe VI. Bußgelder 114 Erste Kategorie Zweite Kategorie Dritte Kategorie Glossar / Abkürzungsverzeichnis / Anlagen

7 Vorwort Die Aufgabenstellung des vorliegenden Handlungsleitfaden ist es, die Verordnung (EU) 2016/679, sog. Datenschutz-Grundverordnung oder kurz EU-DSGVO in eine für Kommunen les- und handhabbare Form zu bringen, dem kommunalen Leser verständlich zu machen und Handlungsempfehlungen für Kommunen abzuleiten, kurz gesagt: Orientierung zu geben. Diese Empfehlungen und Analysen in Form des Handlungsleitfadens sollen es den badenwürttembergischen Kommunen ermöglichen, sich ohne große eigene Analyseanstrengungen und -aufwände datenschutzkonform zu verhalten. Dies ist aus unserer Sicht insbesondere erforderlich, da diese Verordnung einen kompletten Bruch mit dem bisherigen Datenschutzregime, welches im Wesentlichen auf der über zwanzig Jahre alten Datenschutzrichtlinie aus 1995 sowie den teilweise noch älteren Datenschutzgesetzen in der Bundesrepublik basiert, bedeutet: 1. Die Rechtsnorm als Verordnung unmittelbar gilt 2. Hochgradig und unmittelbar wirksame Behörden geschaffen werden, die nach dem Vorbild des Systems der Europäischen Zentralbanken hochgradig autonom sind und verglichen mit dem bisherigen Landesdatenschutzbeauftragten eine wesentlich höhere Wirksamkeit entfalten können 3. Die Regelungen erheblich detaillierter und mit effektivem Rechtsschutz versehen sind. Insbesondere werden im vorliegenden Handlungsleitfaden folgende Themen behandelt: Anwendungsbereich der Verordnung Rechte der Betroffenen Pflichten der Kommune als für die Verarbeitung Verantwortliche bzw. Pflichten im Zusammenhang mit ihren Auftragsverarbeitern Aufsichtsbehörden und Sanktionen gegen Kommunen 31. Januar 2017 Seite 7 von 117

8 Erläuterung zum Zweckverband Kommunale Datenverarbeitung Region Stuttgart Der Zweckverband Kommunale Datenverarbeitung Region Stuttgart mit dem angeschlossenen Rechenzentrum Region Stuttgart GmbH (KDRS/RZRS) berät kommunale Verwaltungen umfassend in allen Aspekten der IT. Neben Organisations- und Softwarelösungen stellt die KDRS/RZRS insbesondere auch IT-Infrastruktur- und - Betriebsservices zur Verfügung. Die KDRS ist mit den speziellen Bedürfnissen der kommunalen Verwaltungen bestens vertraut und kann so optimal im Bereich moderner Informationstechniken unterstützen. Eine ganzheitliche Betreuung rund um das Thema IT ermöglicht den Kunden der KDRS einen wirtschaftlichen Einsatz ihres Budgets und sorgt gleichzeitig für reibungslose Abläufe und einheitliche, effiziente Strukturen. Hintergründe In Gesprächen zwischen der KDRS Kommunalberatung und der Hochschule für öffentliche Verwaltung und Finanzen Ludwigsburg im Frühjahr 2016 entstand kurz nach der Veröffentlichung der EU-DSGVO der Gedanke, den Kommunen und Landkreisen hier Unterstützung zu bieten, da der Verordnungstext für den kommunalen Praktiker doch eher schwer verständlich ist und eher kommerziell orientierte Angebote hier ebenfalls nicht den Bedürfnissen der Kommunen entsprechen. Beide Institutionen sind ex officio berufen, die Gemeinden und Landkreise zu unterstützen. Im Wintersemester 2016/2017 wurde an der Hochschule erneut ein Vertiefungsschwerpunkt angeboten. Es lag also nahe, die praxisbezogene Aufgabenstellung Erstellung eines Handlungsleitfadens zur EU-DSGVO in die Lehrveranstaltung zu integrieren. An dieser Stelle danken wir vor allem der Geschäftsführung des Zweckverbandes Kommunale Datenverarbeitung Region Stuttgart (KDRS) sowie der Fakultät I (Management und Recht) der Hochschule für öffentliche Verwaltung und Finanzen Ludwigsburg, dass sie diese besondere und zukunftsweisende Form der Zusammenarbeit im Rahmen der Regellehrveranstaltungen ermöglicht haben. Die Grundlage dafür bildet die im Sommer 2016 abgeschlossenen Hochschulpartnerschaft zwischen diesen beiden Häusern sowie der Datenzentrale Baden-Württemberg (DZBW), der Hochschule für öffentliche Verwaltung Kehl, der Kommunalen Informationsverarbeitung Reutlingen-Ulm (KIRU) und der Kommunalen Informationsverarbeitung Baden-Franken (KIVBF) somit allen Mitgliedern des Datenverarbeitungsverbundes Baden-Württemberg (dvv BW). 31. Januar 2017 Seite 8 von 117

9 Zusammenfassung Die EU-DSGVO verlangt von Ihnen als Verantwortliche in Ihren Kommunen die Einführung eines Informationssicherheitssystems zur Einhaltung der Verordnung. Dies bedeutet, dass im Gegensatz zum bisherigen Datenschutzregime strengere Regeln und höhere Anforderungen gelten, v.a. an die Dokumentation der durchgeführten Analysen und ergriffenen Maßnahmen. Durch die neue EU-DSGVO hat der von der Datenverarbeitung Betroffene deutlich mehr und umfangreichere Rechte als bisher. Auch wird die bisher von ihren Möglichkeiten und Befugnissen her vergleichsweise bescheiden ausgestattete Aufsichtsbehörde heute der Landesdatenschutzbeauftragte - in seiner Rechtsstellung und in ebendiesen Möglichkeiten und Befugnissen, auch gegenüber den Kommunen, deutlich aufgewertet. Insgesamt kann man von einer wenigstens nominell deutlichen Verschärfung der Spielregeln sprechen, auch wenn sich erst in der Praxis zeigen muss, wie diese umgesetzt und gelebt werden. Ein Entscheidungsgremium für dieses Informationssicherheitssystem besitzen Sie bereits wenigstens informell den Entscheidungszirkel, in dem Sie die Geschicke Ihrer Verwaltung lenken (üblicherweise bestehend aus dem Bürgermeister, ggf. dem Beigeordneten, dem Hauptamtsleiter, dem Kämmerer, dem IT-Leiter, usw.). Dieses Gremium muss sich künftig in einer formalisierten Form auch mit Belangen der Datenverarbeitung auseinandersetzen (als IT-Sicherheitsforum) und seine Ergebnisse protokollieren: Erstellung einer Risikoabschätzung (Modell im Anhang). Orientieren Sie sich zur Vollständigkeit der Risikobetrachtung an den im Internet verfügbaren Gefährdungskatalogen des Bundesamts für Sicherheit in der Informationstechnik (BSI, Das Ergebnis dieser gemeinsam erarbeiteten Risikoabschätzung ist das Risikoprofil Ihrer Verwaltung hinter jeder ernsthaften Gefährdung mit einer hohen Eintrittswahrscheinlichkeit muss jeweils eine adäquate Gegenmaßnahme (die technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten) stehen. Bei der Auswahl von Software soll auf eine datenschutzgerechte Technikgestaltung (Minimalprinzip, Freitextfelder) und Voreinstellung (Zweckbindung) geachtet werden. Eine dokumentierte Auswahl bei der Beauftragung weiterer Auftragsverarbeiter (diese entsprechen heute i.w. den kommunalen Datenverarbeitungsverbünden) anhand von 31. Januar 2017 Seite 9 von 117

10 qualitativen Kriterien, die mittels geeigneter technischer und organisatorischer Maßnahmen die Einhaltung der Verordnung gewährleisten müssen. Falls dies gesetzeswidrig, da bereits durch 11 LDSG BW seit vielen Jahren vorgeschrieben - noch nicht geschehen, erstellen Sie ein Verzeichnis der Verarbeitungstätigkeiten (Verfahren) oder lassen Sie es erstellen. Setzen Sie die technischen und organisatorischen Maßnahmen, die Sie in Ihrem Entscheidungsgremium beschlossen haben und die Ihre Verwaltung erfordert, auch dokumentiert und nachvollziehbar um. Sorgen Sie für eine notwendige Verfügbarkeit und einen raschen Datenzugriff bei Störungen Sorgen Sie für eine aufgabenbezogene Berechtigungsverwaltung in den einzelnen Verfahren, d.h. künftig eine genauere Vergabe von Benutzerberechtigungen als unter dem bisherigen Datenschutzregime. Dokumentieren Sie ggf. Verletzungen des Datenschutzes personenbezogener Daten und die im Anlassfall getroffene Abhilfemaßnahmen. Dokumentieren Sie die Datenschutzfolgenabschätzung (Vorabkontrolle) beim Einsatz neuer Technologien in Ihrer Verwaltung (bspw. Profiling, Videoüberwachung) Ernennen Sie einen Datenschutzbeauftragten ab Inkrafttreten der Verordnung ist das zwingend erforderlich. Wiewohl bei der Erstellung dieses Handlungsleitfadens höchst sorgfältig gearbeitet wurde, stellt er keinen Ersatz für eine ggf. notwendige individuelle professionelle Beratung dar. Nutzen Sie u.a. die Möglichkeit, sich innerhalb ihres jeweiligen Zweckverbandes für kommunale Informationsverarbeitung auszutauschen und beraten zu lassen und nehmen Sie auch diesbezügliche Angebote der kommunalen Spitzenverbände wahr. 31. Januar 2017 Seite 10 von 117

11 Einordnung in den gesamten Rechtsrahmen Die EU-DSGVO gilt als Verordnung prinzipiell unmittelbar. Sie unterscheidet sich jedoch in einigen Aspekten von den bisher bekannten Verordnungen der EU. Unter anderem deshalb, da sie in Artikel 6 Abs. (2) Öffnungsklauseln beinhaltet, die es den nationalen Gesetzgebern ermöglichen, dass sie spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung in Bezug auf die Verarbeitung zur Erfüllung von Absatz 1 Buchstaben c und e beibehalten oder einführen, indem sie spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten.. Die Altersgrenze des Artikels 8, bezogen auf die Einwilligung eines Kindes, kann durch das Recht der Mitgliedstaaten gesenkt werden, jedoch nicht unter 13 Jahre. Des Weiteren lässt Artikel 8 die rechtlichen Bestimmungen der Mitgliedstaaten zum Vertragsschluss mit Kindern unberührt. Nach Artikel 9 Abs. 2 a) kann das nationale Recht die Verarbeitung besonderer Arten personenbezogener Daten auf Grundlage einer Einwilligung weiterhin verbieten. Im Gegensatz dazu kann das nationale Recht die Verarbeitung besonderer Arten personenbezogener Daten im Gesundheitsbereich erlauben. Zum einen in der Gesundheitsvorsorge und Arbeitsmedizin (Artikel 9 Abs. 2 h), zum anderen im Bereich der öffentlichen Gesundheit, zum Schutz vor Epidemien (Artikel 9 Abs. 2 i). Die Bestimmungen über Fachpersonal zur Verarbeitung besonderer Arten personenbezogener Daten nach Art. 9 Abs. 2 h) ergeben sich nach Abs. 3 ebenfalls aus dem Recht der Mitgliedstaaten. Außerdem können nach Artikel 9 Abs. 4 weitere Bestimmungen zum Schutz von genetischen, biometrischen oder Gesundheitsdaten durch die einzelnen Mitgliedstaaten erlassen werden. Artikel 10 lässt es den Mitgliedstaaten offen, die Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln zu erlauben, wenn geeignete Garantien ebenfalls vorgeschrieben sind. Besonders bedeutend für die öffentliche Verwaltung könnte Artikel 23 werden, der es den nationalen Gesetzgebern der Mitgliedsstaaten ermöglicht, die Artikel 5, und 34 durch Rechtsvorschrift zu beschränken, wenn eines von zehn aufgeführten Themen betroffen ist. Hierbei geht es insbesondere um nationale bzw. öffentliche Sicherheit und Strafverfolgung aber auch um klassische Angelegenheiten der öffentlichen Verwaltung. Eine weitere, bedeutende Öffnungsklausel liegt in Artikel 83, Abs. 7 begründet. Hier eröffnet er den Mitgliedsstaaten die Freiheit zu entscheiden, ob und in welchem Umfang Geldbußen gegen Behörden und öffentliche Stellen zugelassen sind. 31. Januar 2017 Seite 11 von 117

12 Artikel 85 verpflichtet die Mitgliedstaaten Rechtsvorschriften zu erlassen, die die Bestimmungen der EU-DSGVO mit den Bestimmungen zur Meinungs-, Presse- und Informationsfreiheit in Einklang bringen. Insbesondere für die Verarbeitung zu journalistischen, literarischen, wissenschaftlichen und künstlerischen Zwecken sind Ausnahmen zu regeln. Diese Bestimmungen muss der Mitgliedstaat der Kommission der Europäischen Union mitteilen. Nach Artikel 87 können die Mitgliedstaaten selbst bestimmen, inwieweit nationale Kennziffern unter den Anwendungsbereich der EU-DSGVO fallen. Gemäß Artikel 88 können die Mitgliedstaaten auch spezifischere Vorschriften zur Datenverarbeitung im Beschäftigungskontext erlassen. Auch diese Vorschriften müssen der Kommission vorgelegt werden. Das Recht der Mitgliedstaaten kann nach Artikel 89 auch Ausnahmen bei der Verarbeitung zu wissenschaftlichen, historischen, statistischen oder Archivzwecken bestimmen. Diese Ausnahmen können die Artikel 15, 16, 18, 21 (bei Archivzwecken auch Artikel 19 und 20) betreffen. Dennoch gibt es viele Berührungspunkte, Vorgaben und Einschränkungen durch Gesetze des Bundes, durch andere Landesgesetze und durch Richtlinien und Verordnungen der Europäischen Union. Dabei ist zu beachten, dass jede der drei Ebenen ihre eigene Gesetzgebungskompetenz besitzt. Allgemein gilt: Das EU-Recht geht nationalem Recht vor, wobei Richtlinien in nationales Recht umzusetzen sind. Die Zuständigkeiten im deutschen Recht folgen der bundesstaatlichen Kompetenzzuordnung des Grundgesetzes. Eine solche Situation mit drei oder mehr Ebenen wird auch als Multilevel Governance bezeichnet. Bei der Verabschiedung eines neuen Gesetzes auf Landesebene muss deshalb zunächst überprüft werden, ob die übergeordneten Ebenen (EU und Bund) schon eigene Regelungen getroffen haben und ob das Landesrecht im Konsens dazu steht bzw. stehen muss. Zudem gilt generell, dass neueres Recht älterem vorgeht und spezielles Recht vor allgemeinem gilt. Problematisch ist hierbei, dass 2016 sozusagen der erste Sündenfall bei der Umsetzung von Europäischem in nationales Recht der Bundesrepublik Deutschland begangen wurde. Die Verordnung (EU) Nr. 910/2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG, sog. eidas-verordnung, trat zum 1. Juli 2016 in Kraft, die Signaturrichtlinie aus dem Jahr 1999 außer Kraft. Die sich auf die Signaturrichtlinie beziehenden Signaturgesetze und diesbezüglichen Zitationen und Verordnungen wurden jedoch weder vom Bundesgesetzgeber noch von den Landesgesetzgebern außer Kraft gesetzt oder aktualisiert. Es bleibt zu hoffen, dass bei der Umsetzung der EU-DSGVO ein derartiges Nebeneinander konkurrierender Gesetze unterbleibt. 31. Januar 2017 Seite 12 von 117

13 Das folgende Kapitel gibt einen ersten Überblick über rechtliche Berührungs- und Bezugspunkte der EU-DSGVO mit bzw. zu anderen Gesetzen, Richtlinien und Verordnungen. a) Richtlinien und Verordnungen der EU Als Mitgliedsstaat der Europäischen Union steht die staatliche Tätigkeit, insbesondere Gesetzgebung und vollziehende Gewalt, in Deutschland unter dem direkten Einfluss der EU- Rechtsetzung. Besonders zu beachten sind dabei Richtlinien und Verordnungen. Verordnungen der EU gelten direkt, während Richtlinien noch in nationales Recht umgesetzt werden müssen. Die Umsetzung der Richtlinien obliegt dem Bundes- oder dem jeweiligen Landesgesetzgeber nach Maßgabe der innerstaatlichen Kompetenzverteilung. Im Hinblick auf den Datenschutz in Deutschland sind vor allem die Richtlinie 95/46/EG (Datenschutz-Richtlinie) und die vorliegende Verordnung 2016/679/EU (Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG oder kurz Datenschutz- Grundverordnung bzw. EU-DSGVO) von großer Bedeutung. Hierbei ist anzumerken, dass die EU-DSGVO eine eher atypische Verordnung ist, da sie wie sonst eigentlich nur eine 31. Januar 2017 Seite 13 von 117

14 Richtlinie dem nationalen Gesetzgeber Regelungsspielraum nicht nur überlässt, sondern auch explizit einräumt. Genauere Erläuterungen sind in den einzelnen Kapiteln zu finden. b) Bundesgesetze Es ist seitens der Bundesregierung beabsichtigt, die EU-DSGVO durch einen eigenen Rechtsakt, das Gesetz zur Anpassung des Datenschutzrechts an die Datenschutz- Grundverordnung und zur Umsetzung der Richtlinie (EU) 2016/680 zu effektuieren, das sog. Datenschutz-Anpassungs- und -Umsetzungsgesetz EU DSAnpUG-EU. Hierzu liegt ein Referentenentwurf des BMI vom vor, der hier im vorliegenden Handlungsleitfaden auch verwendet wurde. Naturgemäß kann nicht mit Sicherheit angenommen werden, dass dieser Entwurf auch tatsächlich nach dem Gesetzgebungsprozess genauso in Kraft tritt. Als gesichert gelten kann jedoch, dass das bisherige BDSG in dieser Form nicht weiter existieren wird und es zu einer Anpassung an bzw. Umsetzung der in der EU-DSGVO vorgegebenen Vorgaben kommen wird. c) Landesgesetze Auch mit anderen Gesetzen des Landes Baden-Württemberg steht die EU-DSGVO bzw. das beabsichtigte DSAnpUG-EU in direkter Verbindung. Vor allem in den Landesdatenschutzgesetzen, die vom jeweiligen Landesgesetzgeber entweder aufgehoben oder durch angepasste Gesetzeswerke ersetzt werden müssen. Bis zum Inkrafttreten der EU-DSGVO und der Anpassungsgesetze des Bundes bleiben die LDSGe jedenfalls in Kraft und sind für die Kommunen der jeweiligen Bundesländer maßgeblich. 31. Januar 2017 Seite 14 von 117

15 Abschnitt 1: Anwendungsbereich der EU-DSGVO Geltungsbereich I. Differenzierung nach Anwendungsbereichen In Artikel 2 der EU-DSGVO findet sich der Paragraph zum sachlichen Anwendungsbereich der Verordnung. Dieser besagt, dass diese Verordnung für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen gilt. Da sowohl Kommunen, Landkreise, Zweckverbände und teilweise auch Eigenbetriebe und Unternehmen, bei denen sich die Kommunen beteiligen, personenbezogene Daten ganz oder teilweise automatisiert verarbeiten, die in einem Dateisystem gespeichert sind, findet die Verordnung für alle genannten Körperschaften des öffentlichen oder privaten Rechts Anwendung. In Absatz 2 des Artikels 2 finden sich mögliche Ausnahmen zum Anwendungsbereich der Verordnung, die jedoch für die im vorherigen Absatz genannten Körperschaften des öffentlichen oder privaten Rechts nicht zutreffen. Keine der im Absatz 2 aufgezählten Ausnahmetatbestände treffen auf diese Körperschaften zu. Die ortspolizeilichen Aufgaben sind nicht als Strafverfolgung i.s. dieser Bestimmung anzusehen. Dementsprechend hat die gesamte Verordnung Geltung für Kommunen, Landkreise, Zweckverbände, Eigenbetriebe und auch Unternehmen, bei denen eine Beteiligung vorliegt. In Artikel 3 der EU-DSGVO finden sich Aussagen zum räumlichen Anwendungsbereich der Verordnung. Die für Kommunen relevante Bestimmung besagt, dass jede Verarbeitung eines für die Verarbeitung Verantwortlichen innerhalb der EU dieser Verordnung unterliegt. Da Kommunen Baden-Württembergs ihren Sitz in der EU haben, ist sie uneingeschränkt anwendbar, ebenso für Landkreise, Zweckverbände, Eigenbetriebe und Unternehmen, bei denen eine Beteiligung vorliegt. Für die Verarbeitung personenbezogener Daten muss jedoch zusätzlich auch die Rechtmäßigkeit gegeben sein. Da die öffentliche Verwaltung nach dem Legalitätsprinzip agiert, sollte ihre Verarbeitung zwangsläufig ebenfalls rechtmäßig sein. Die Rechtmäßigkeit der Verarbeitung personenbezogener Daten liegt bei Kommunen, Landkreisen, Zweckverbänden, Eigenbetrieben und Unternehmen mit einer Beteiligung bei ihren Pflichtaufgaben in den rechtlichen Verpflichtungen und bei den freiwilligen Aufgaben für gewöhnlich in der Wahrnehmung einer Aufgabe im öffentlichen Interesse oder die Ausübung einer Aufgabe in öffentlicher Hand. 31. Januar 2017 Seite 15 von 117

16 Auch wenn die Kommune, der Landkreis oder der Zweckverband Daten nicht selbstständig, sondern in Zusammenarbeit mit einem Unternehmen (beispielsweise einem Unternehmen, bei dem eine Beteiligung vorliegt) verarbeitet, ist für die Einhaltung der Rechtmäßigkeit zu sorgen. In Artikel 4 wird u.a. der Begriff des Unternehmens definiert. Nach 102 GemO darf die Gemeinde ungeachtet der Rechtsform wirtschaftliche Unternehmen nur errichten, übernehmen oder wesentlich erweitern, wenn 1. der öffentliche Zweck das Unternehmen rechtfertigt 2. das Unternehmen nach Art und Umfang in einem angemessenen Verhältnis zur Leistungsfähigkeit der Gemeinde und zum voraussichtlichen Bedarf steht 3. bei einem Tätigwerden außerhalb der kommunalen Daseinsvorsorge der Zweck nicht ebenso gut und wirtschaftlich durch einen privaten Anbieter erfüllt wird oder erfüllt werden kann. Auch nach 1 EigBG können Gemeinden grundsätzlich Unternehmen führen, wenn es hierfür einen rechtfertigenden Grund gibt. Nach 1 GKZ können Gemeinden auch Zweckverbände und gemeinsame selbstständige Kommunalanstalten bilden oder öffentlichrechtliche Vereinbarungen schließen, um Aufgaben zu erfüllen, zu deren Erledigung sie berechtigt oder verpflichtet sind. Zusammenfassend lässt sich sagen, dass die EU-DSGVO für Kommunen, Landkreise und Zweckverbände dann Anwendung findet, wenn sie personenbezogene Daten verarbeiten und dafür eine rechtliche Verpflichtung oder ein öffentliches Interesse vorliegt. Die EU-DSGVO findet allerdings auch nur für die Bereiche, in denen personenbezogene Daten verarbeitet werden, Anwendung. Für die Verarbeitung und damit für den Datenschutz letztendlich verantwortlich sind a) Gemeinden In einer Gemeinde ist der Verantwortliche für den Datenschutz, sofern nichts anderes bestimmt, der Leiter der Gemeindeverwaltung, also somit der Bürgermeister. b) Landkreise In einem Landkreis ist der Verantwortliche für den Datenschutz, sofern nichts anderes bestimmt, der Leiter der Landkreisverwaltung, also somit der Landrat. c) Zweckverbände In einem Zweckverband ist der Verantwortliche für den Datenschutz derjenige, der laut Verbandsvertrag dafür bestimmt wurde. Falls dies nicht der Fall ist, ist derjenige der Verantwortliche für den Datenschutz, der Leiter der Verwaltung ist, die die Daten verarbeitet, also auch hier der Bürgermeister der betreffenden Kommune. 31. Januar 2017 Seite 16 von 117

17 d) Eigenbetriebe Da ein Eigenbetrieb keine eigene Rechtspersönlichkeit ist, ist in einem Eigenbetrieb derjenige der Verantwortliche für den Datenschutz, der Leiter der Gemeindeverwaltung ist, der der Eigenbetrieb angehört, also auch hier der Bürgermeister der betreffenden Kommune. e) Beteiligungsunternehmen Bei Unternehmensbeteiligungen sind die Organe Verantwortliche für den Datenschutz, die laut Handels- bzw. sonstigem anwendbaren Recht das Unternehmen vertreten. II. Anwendungsbereich nach Ämtern einer Kommune Damit die Verarbeitung von personenbezogenen Daten rechtmäßig ist, müssen Voraussetzungen erfüllt werden, die sich in Artikel 6 der EU-DSGVO finden lassen. Für Kommunen wird hauptsächlich Artikel 6 1. c) und e) zutreffen. Dieser Artikel besagt folgendes: Rechtmäßigkeit der Verarbeitung 1. Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der für die Verarbeitung Verantwortliche unterliegt; e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem für die Verarbeitung Verantwortlichen übertragen wurde; Im Folgenden soll anhand der Beispielmaterie Wahlen dargestellt werden, in welchen Bereichen eine gesetzliche Ermächtigungsgrundlage oder eine Pflichtaufgabe vorhanden ist, die die Verarbeitung von personenbezogenen Daten erlaubt, beziehungsweise erfordert. è Besonders zu beachten ist, dass die Verarbeitung anderer als der hier aufgezählten Daten im Umkehrschluss nicht zulässig ist, da eben die spezialgesetzliche Ermächtigung hierfür fehlt. 1. Wahlamt: Es liegt in der Zuständigkeit der Gemeindebehörden, Wahlen durchzuführen. Dies trifft für alle Wahlen zu, sei es auf EU-, Bundes-, Landes- oder Kommunalebene. Die Aufgabe der Kommune bei einer Wahl ist es, die Wahlunterlagen und Informationen per Brief an die Bürger zu versenden. Hierfür muss ein Wählerverzeichnis geführt werden. 31. Januar 2017 Seite 17 von 117

18 Für jede Art der Wahl gibt es eine andere Rechtsnorm, welche Daten im Wählerverzeichnis vorhanden sein müssen. Bei den Europawahlen ist das 14 Europawahlordnung (EuWO): 14 Führung des Wählerverzeichnisses (1) Die Gemeindebehörde legt vor jeder Wahl für jeden allgemeinen Wahlbezirk ( 12) ein Verzeichnis der Wahlberechtigten nach Familiennamen und Vornamen, Geburtsdatum und Wohnung an. Das Wählerverzeichnis kann auch im automatisierten Verfahren geführt werden. (2) Das Wählerverzeichnis wird unter fortlaufender Nummer in der Buchstabenfolge der Familiennamen, bei gleichen Familiennamen der Vornamen angelegt. Es kann auch nach Ortsteilen, Straßen und Hausnummern gegliedert werden. Es enthält je eine Spalte für Vermerke über die Stimmabgabe und für Bemerkungen. (3) Die Gemeindebehörde sorgt dafür, dass die Unterlagen für die Wählerverzeichnisse jederzeit so vollständig vorhanden sind, dass diese vor Wahlen rechtzeitig angelegt werden können. (4) Besteht ein Wahlbezirk aus mehreren Gemeinden oder Teilen mehrerer Gemeinden, so legt jede Gemeindebehörde das Wählerverzeichnis für ihren Teil des Wahlbezirks an. Bei den Bundeswahlen findet sich die Norm für das Wählerverzeichnis in 14 Bundeswahlordnung (BWO), der mit dem 14 EuWO identisch ist. Bei den Landeswahlen findet sich die Norm für das Wählerverzeichnis in 10 Landeswahlordnung (LWO): 10 Führung des Wählerverzeichnisses (1) Der Bürgermeister legt vor jeder Wahl für jeden allgemeinen Wahlbezirk ein Verzeichnis der Wahlberechtigten nach Familiennamen und Vornamen, Tag der Geburt und Wohnung an. Das Wählerverzeichnis kann auch im automatisierten Verfahren geführt werden. (2) Das Wählerverzeichnis wird unter fortlaufender Nummer in der Buchstabenfolge der Familiennamen, bei gleichen Familiennamen der Vornamen, angelegt. Es kann auch nach Ortsteilen, Straßen und Hausnummern gegliedert werden. Es enthält je eine Spalte für Vermerke über die Stimmabgabe und für Bemerkungen. In die Spalte für Bemerkungen dürfen nur Vermerke nach 16 Abs. 3 aufgenommen werden. Bei den Kommunalwahlen findet sich die Norm für das Wählerverzeichnis in 3 Kommunalwahlordnung (KomWO): 3 Führung des Wählerverzeichnisses (1) Der Bürgermeister legt vor jeder Wahl für jeden allgemeinen Wahlbezirk ( 2 Abs. 1) ein Verzeichnis der Wahlberechtigten nach Familiennamen und Vornamen, Tag der Geburt und 31. Januar 2017 Seite 18 von 117

19 Wohnung an. Das Wählerverzeichnis kann auch im automatisierten Verfahren geführt werden. In jeder Norm ist festgeschrieben, dass im Wählerverzeichnis der Familienname, der Vorname, das Geburtsdatum und die Wohnung (also Adresse) vorhanden sein müssen. Dementsprechend dürfen dem Wahlamt einer Kommune auch nur diese Daten zur Verfügung stehen. III. Allgemeine Bestimmungen zum Anwendungsbereich a. Artikel 1 Gegenstand und Ziele (1) Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten. (2) Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten. (3) Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden. Artikel 1 beschreibt die Ziele der europäischen Datenschutzgrundverordnung. Die Verordnung soll natürliche Personen schützen, was den Schutz von Betriebs- und Geschäftsgeheimnissen durch die EU-DSGVO ausschließt. Die Personen sollen bei der Verarbeitung ihrer personenbezogenen Daten geschützt werden. Dieses Recht auf Datenschutz ist in Deutschland grundrechtsähnlich, gestützt auf dem allgemeinen Persönlichkeitsrecht nach Art. 2 Abs. 1 i.v.m. Art. 1 GG. Art. 8 der europäischen Charta der Grundrechte (EU-GRC) schützt personenbezogene Daten und ist somit ein Grundrecht auf Datenschutz. b. Artikel 2 Sachlicher Anwendungsbereich (1) Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. (2) Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten a) im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt, b) durch die Mitgliedstaaten im Rahmen von Tätigkeiten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen, c) durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten, d) durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung 31. Januar 2017 Seite 19 von 117

20 oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit. (3) Für die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen, Ämter und Agenturen der Union gilt die Verordnung (EG) Nr. 45/2001. Die Verordnung (EG) Nr. 45/2001 und sonstige Rechtsakte der Union, die diese Verarbeitung personenbezogener Daten regeln, werden im Einklang mit Artikel 98 an die Grundsätze und Vorschriften der vorliegenden Verordnung angepasst. (4) Die vorliegende Verordnung lässt die Anwendung der Richtlinie 2000/31/EG und speziell die Vorschriften der Artikel 12 bis 15 dieser Richtlinie zur Verantwortlichkeit der Vermittler unberührt. Die EU-DSGVO gilt für die automatisierte Verarbeitung von personenbezogenen Daten. Dabei ist es irrelevant, ob die Daten ganz oder nur teilweise automatisiert verarbeitet werden. Art. 2 steckt auch eine Negativabgrenzung ab, für welche Bereiche die Verordnung nicht gilt. Dazu gehören Verarbeitungen im Rahmen von: - Tätigkeiten, die nicht dem Unionsrecht unterliegen, wie z.b. Rentenangelegenheiten - Tätigkeiten, die unter den Anwendungsbereich von Titel V Kapitel 2 EUV fallen, welches besondere Bestimmungen über die gemeinsame Außen- und Sicherheitspolitik behandelt - ausschließlich persönlichen oder familiären Tätigkeiten; z.b. bei der Planung einer Geburtstagsfeier - Strafverfolgung, -verhütung, -ermittlung, -aufdeckung und Strafvollstreckung, soweit die Verarbeitung durch die zuständige Behörde erfolgt. Darunter fällt auch der Schutz der öffentlichen Sicherheit. Für die Organe, Einrichtungen und Ämter der EU gelten weiterhin andere Verordnungen. Die Richtlinie über den elektronischen Geschäftsverkehr (2000/31/EG) bleibt von den Festsetzungen der europäischen Datenschutzgrundverordnung unberührt. c. Artikel 3 Räumlicher Anwendungsbereich (1) Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet. (2) Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht a) betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig 31. Januar 2017 Seite 20 von 117

21 davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist; b) das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt. (3) Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten durch einen nicht in der Union niedergelassenen Verantwortlichen an einem Ort, der aufgrund Völkerrechts dem Recht eines Mitgliedstaats unterliegt. Die EU-DSGVO gilt für die Verarbeitung personenbezogener Daten, wenn eine Niederlassung des Verantwortlichen oder des Auftragsverarbeiters in der europäischen Union liegt. Die Verarbeitung selbst kann aber auch außerhalb der Union stattfinden. Die EU-DSGVO gilt auch für Verantwortliche oder Auftragsverarbeiter, die nicht in der EU niedergelassen sind, wenn sich die betroffene Person in der Union befindet und wenn ein Zusammenhang besteht zwischen der Datenverarbeitung und: - einem Waren- oder Dienstleistungsangebot an den Betroffenen in der Union - der Beobachtung von Personen, soweit dies in der Union geschieht Hierbei wird sich in der Praxis, vor allem gegenüber den Anbietern von Social Media wie Instagram, Facebook, Twitter, WhatsApp & Co. die Frage der Durchsetzbarkeit stellen. Dem Verordnungstext nach wäre z. B. die in der Russischen Föderation beliebte Plattform vk.com der EU-DSGVO unterworfen, es ist aber zumindest per heute zweifelhaft, ob diese Geltung durchsetzbar ist. Kommunen fallen unter den ersten Absatz, daher wird auf die weiteren nicht tiefer eingegangen. Für Kommunen ist es wegen der o.a. Unwägbarkeiten empfehlenswert, auf Datenverarbeitungen außerhalb der EU zu verzichten, bzw. diese tunlichst zu vermeiden. Dies gestaltet sich in der Praxis nicht so einfach, da Social Media Dienste zumeist nicht innerhalb der EU ansässig sind. d. Artikel 5 Grundsätze für die Verarbeitung personenbezogener Daten (1) Personenbezogene Daten müssen a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden ( Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz ); b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken ( Zweckbindung ); c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein ( Datenminimierung ); d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt 31. Januar 2017 Seite 21 von 117

22 werden ( Richtigkeit ); e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden ( Speicherbegrenzung ); f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen ( Integrität und Vertraulichkeit ); (2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können ( Rechenschaftspflicht ). Art. 5 EU-DSGVO beschreibt die Grundsätze für die Verarbeitung personenbezogener Daten, die sich in sieben Grundregeln des Datenschutzes zusammenfassen lassen: 1. Rechtmäßigkeit: Daten dürfen nur verarbeitet werden, wenn es eine Erlaubnis hierfür gibt (Verbot mit Erlaubnisvorbehalt). Diese Erlaubnis muss entweder durch Gesetz oder durch Vertrag hergestellt werden. 2. Transparenz: Für den Betroffenen muss es nachvollziehbar sein, welche Daten über ihn, wozu und wo verarbeitet werden. Ihm stehen weitgehende Auskunftsrechte zu. 3. Zweckbindung: Daten dürfen grundsätzlich nur für festgelegte Zwecke verarbeitet werden. Die Daten müssen, wenn der Zweck erfüllt wurde, unkenntlich gemacht werden. 4. Datensparsamkeit: Es dürfen nur die Daten verarbeitet werden, die zur Erfüllung des Zwecks notwendig sind und keine Daten, die darüber hinausgehen. 5. Richtigkeit: Die Daten müssen sachlich richtig und auf dem neuesten Stand sein. Dem Betroffenen steht ein Korrekturrecht zu. 6. Datensicherheit: Es muss sichergestellt werden, dass die Daten nicht unbeabsichtigt entwendet werden oder verloren gehen. Diese bislang nur im Anhang zu 9 der deutschen Datenschutzgesetze enthalten gewesene Vorschrift wird hier deutlich aufgewertet. 7. Kontrolle: Die datenschutzrechtlichen Bestimmungen müssen eingehalten werden, dies muss der Verantwortliche auch nachweisen können. e. Artikel 6 Rechtmäßigkeit der Verarbeitung (1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden 31. Januar 2017 Seite 22 von 117

23 personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben; b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen; c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt; d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen; e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde; f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung. (2) Die Mitgliedstaaten können spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung in Bezug auf die Verarbeitung zur Erfüllung von Absatz 1 Buchstaben c und e beibehalten oder einführen, indem sie spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten, einschließlich für andere besondere Verarbeitungssituationen gemäß Kapitel IX. (3) Die Rechtsgrundlage für die Verarbeitungen gemäß Absatz 1 Buchstaben c und e wird festgelegt durch a) Unionsrecht oder b) das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt. Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt oder hinsichtlich der Verarbeitung gemäß Absatz 1 Buchstabe e für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Diese Rechtsgrundlage kann spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung enthalten, unter anderem Bestimmungen darüber, welche allgemeinen Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen gelten, welche Arten von Daten verarbeitet werden, welche Personen betroffen sind, an welche Einrichtungen und für welche Zwecke die personenbezogenen Daten offengelegt werden dürfen, welcher Zweckbindung sie unterliegen, wie lange sie gespeichert werden dürfen und welche Verarbeitungsvorgänge und -verfahren angewandt werden dürfen, einschließlich Maßnahmen zur Gewährleistung einer rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung, wie solche für sonstige besondere Verarbeitungssituationen gemäß Kapitel IX. Das Unionsrecht oder das Recht der Mitgliedstaaten müssen ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem 31. Januar 2017 Seite 23 von 117

24 verfolgten legitimen Zweck stehen. (4) Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele darstellt, so berücksichtigt der Verantwortliche um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist unter anderem a) jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung, b) den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen, c) die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten gemäß Artikel 9 verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 verarbeitet werden, d) die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen, e) das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann. Art. 6 beschreibt detaillierter, in welchen Fällen die Datenverarbeitung überhaupt zulässig ist. Daten dürfen nur verarbeitet werden, wenn eine der nachfolgenden Bedingungen erfüllt ist: Einwilligung: Der Betroffene muss seine Einwilligung zur Verarbeitung der ihn betreffenden Daten abgegeben haben, wobei der oder die Zwecke schon zum Zeitpunkt der Einwilligung festgestanden haben müssen. Anforderungen an die Einwilligung beschreibt Artikel 7 genauer. Dies ist zum Beispiel bei der Anmeldung eines Kindes für eine Kindertagesstätte der Fall. Es besteht keine rechtliche Verpflichtung sein Kind dort anzumelden, man willigt aber bei der Anmeldung in die Verarbeitung der eigenen Daten und der Daten des Kindes ein. Vertrag: Die Daten werden zur Erfüllung eines geschlossenen Vertrages verarbeitet. Jeder Vertrag ist hiervon betroffen, z.b. auch der Mietvertrag zwischen der Gemeinde und einer Person. Rechtliche Verpflichtung: Die Daten werden zur Erfüllung einer rechtlichen Verpflichtung verarbeitet, zu deren Erfüllung der Verantwortliche verpflichtet ist. Eine solche rechtliche Verpflichtung kann z.b. eine Aufbewahrungs- oder Auskunftspflicht sein. 31. Januar 2017 Seite 24 von 117

25 Aufgabenerfüllung auf Grund rechtlicher Verpflichtung: Die Datenverarbeitung ist erforderlich, um eine Aufgabe zu erfüllen, deren Erfüllung im öffentlichen Interesse liegt oder zu deren Wahrnehmung der Verantwortliche verpflichtet ist. Eine solche Aufgabe kann z. B. die Erstellung eines Passes sein. Dabei ist zu beachten, dass ausschließlich die Daten verarbeitet werden, die zur Erfüllung dieser Aufgabe unabdingbar notwendig sind. Dies wäre bspw. die Haarfarbe, nicht aber die Blutgruppe, da diese in Pässen im Gegensatz zur Haarfarbe nicht eingetragen wird. Die Rechtsgrundlagen können sich aus dem Unionsrecht oder dem Recht der Mitgliedstaaten, dem der für die Verarbeitung Verantwortliche unterliegt, ergeben. Die Rechtsgrundlage zur Datenverarbeitung muss ein Ziel verfolgen, welches im öffentlichen Interesse liegt und in angemessenem Verhältnis zum legitimen Zweck steht. In der Rechtsgrundlage muss der Zweck der Verarbeitung festgelegt sein. Neu ist hierbei vor allem, dass nun völlig klargestellt ist, dass Daten von Verwaltungen nur dann verarbeitet werden dürfen, wenn eine solche Rechtsgrundlage vorliegt, d.h. es erfolgt hier eine Verschärfung, insbesondere durch die später behandelten Sanktionen und Kontrollmöglichkeiten. Schutz: Die Daten werden verarbeitet um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen. Dies ist gegeben, wenn die Verarbeitung beispielsweise für humanitäre Zwecke einschließlich der Überwachung von Epidemien und deren Ausbreitung oder in humanitären Notfällen insbesondere bei Naturkatastrophen oder vom Menschen verursachten Katastrophen erfolgt. Dabei ist zu beachten, dass diese Bestimmung eng auszulegen ist eine medizinische Vorratsdatenspeicherung aller Gemeindeeinwohner wird nicht zulässig sein. Interesse des Verantwortlichen: Die Verarbeitung liegt im Interesse des Verantwortlichen. Die Interessen, Grundrechte und Grundfreiheiten des Betroffenen müssen stets gewahrt werden, insbesondere, wenn der Betroffene noch ein Kind ist. Diese Vorschrift gilt nicht für Behörden. Wenn Daten zu einem anderen Zweck verarbeitet werden, als sie erhoben wurden, muss der Verantwortliche abwägen, ob der Verarbeitungszweck mit dem Erhebungszweck vereinbar ist. Beispielweise wenn Daten zu einem Zweck verarbeitet werden, dem der Betroffene nicht ausdrücklich zugestimmt hat, oder wenn der Verarbeitungszweck auf einer Rechtsvorschrift beruht, die eine notwendige und verhältnismäßige Maßnahme zum Schutz der Ziele des Art. 23 Abs. 1 darstellt. Dabei ist unter anderem zu berücksichtigen: Verbindungen: Alle Verbindungen zwischen dem Erhebungszweck und dem neuen Verarbeitungszweck. Zusammenhang: Der Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere das Verhältnis zwischen dem Betroffenen und dem Verantwortlichen. 31. Januar 2017 Seite 25 von 117

26 Datenart: Die Art der personenbezogenen Daten, insbesondere die besonders schützenswerten personenbezogenen Daten und Daten über strafrechtliche Verurteilungen. Folgen: Die möglichen Folgen, die aus einer Weiterverarbeitung für den Betroffenen eintreten könnten. Garantien: Geeignete Garantien wie Verschlüsselung und Pseudonymisierung müssen vorhanden sein. f. Artikel 7 Bedingungen für die Einwilligung (1) Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. (2) Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen. (3) Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein. (4) Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind. Art. 7 beschreibt die Voraussetzungen für eine rechtmäßige Einwilligung. Die Einwilligung ist an einige Voraussetzungen gekoppelt, ohne die die Einwilligung nicht wirksam und somit die Verarbeitung nicht rechtmäßig wäre. Der Verantwortliche muss nachweisen können, dass der Betroffene in die Verarbeitung eingewilligt hat. Wenn die Einwilligung schriftlich erfolgt, muss sichergestellt sein, dass die Einwilligung verständlich, in klarer und einfacher Sprache verfasst ist. Die Einwilligung muss von den anderen Sachverhalten klar unterschieden werden können. Hier ist für Gemeinden dringend geboten, vorhandene Einwilligungserklärungen dahingehend zu überprüfen, ob sie dem neuen Standard genügen. Der Betroffene kann seine Einwilligung jederzeit widerrufen. Die Verarbeitung, die zwischen der Einwilligung und dem Widerruf der Einwilligung stattgefunden hat, bleibt rechtmäßig. Der 31. Januar 2017 Seite 26 von 117

27 Betroffene muss hierüber vor Erteilung der Einwilligung informiert werden und der Widerruf muss genauso einfach sein wie die Erteilung der Einwilligung. Die Einwilligung muss freiwillig abgegeben werden. Bei der Beurteilung, ob die Einwilligung freiwillig abgegeben wurde, muss berücksichtigt werden, ob die Erfüllung eines Vertrages von der Einwilligung abhängt, ohne dass die Verarbeitung von personenbezogenen Daten notwendig ist, um einen Vertrag zu erfüllen. Abs. 4 führt hier dazu, dass nachträglich hinterfragt werden kann und wohl auch wird ob die Einwilligung tatsächlich freiwillig abgegeben wurde. So kann z. B. bei einer älteren Person oder einer mit geringen Sprachkenntnissen davon ausgegangen werden, dass hier die Frage nach der Freiwilligkeit durchaus verneint werden könnte samt aller Folgen für die Kommune. Die Einwilligung oder Teile der Einwilligung sind nicht verbindlich, wenn sie gegen diese Verordnung verstoßen. g. Artikel 8 Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft (1) Gilt Artikel 6 Absatz 1 Buchstabe a bei einem Angebot von Diensten der Informationsgesellschaft, das einem Kind direkt gemacht wird, so ist die Verarbeitung der personenbezogenen Daten des Kindes rechtmäßig, wenn das Kind das sechzehnte Lebensjahr vollendet hat. Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird. Die Mitgliedstaaten können durch Rechtsvorschriften zu diesen Zwecken eine niedrigere Altersgrenze vorsehen, die jedoch nicht unter dem vollendeten dreizehnten Lebensjahr liegen darf. (2) Der Verantwortliche unternimmt unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen, um sich in solchen Fällen zu vergewissern, dass die Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wurde. (3) Absatz 1 lässt das allgemeine Vertragsrecht der Mitgliedstaaten, wie etwa die Vorschriften zur Gültigkeit, zum Zustandekommen oder zu den Rechtsfolgen eines Vertrags in Bezug auf ein Kind, unberührt. Artikel 8 beschreibt die Bedingungen, die erfüllt sein müssen, damit die Einwilligung eines Kindes unter 16 Jahren rechtmäßig ist, wenn es um Dienste der Informationsgesellschaft geht. Diese Vorschrift ist für den öffentlichen Sektor eher nicht relevant, da der öffentliche Sektor üblicherweise keine Dienste der Informationsgesellschaft anbietet. 31. Januar 2017 Seite 27 von 117

28 h. Artikel 9 Verarbeitung besonderer Kategorien personenbezogener Daten (1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt. (2) Absatz 1 gilt nicht in folgenden Fällen: a) Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt, es sei denn, nach Unionsrecht oder dem Recht der Mitgliedstaaten kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden, b) die Verarbeitung ist erforderlich, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, soweit dies nach Unionsrecht oder dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung nach dem Recht der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig ist, c) die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich und die betroffene Person ist aus körperlichen oder rechtlichen Gründen außerstande, ihre Einwilligung zu geben, d) die Verarbeitung erfolgt auf der Grundlage geeigneter Garantien durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung, dass sich die Verarbeitung ausschließlich auf die Mitglieder oder ehemalige Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die personenbezogenen Daten nicht ohne Einwilligung der betroffenen Personen nach außen offengelegt werden, e) die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat, f) die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich, g) die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, aus Gründen eines erheblichen öffentlichen Interesses erforderlich, h) die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung 31. Januar 2017 Seite 28 von 117

29 von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich, i) die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses, vorsieht, erforderlich, oder j) die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 erforderlich. (3) Die in Absatz 1 genannten personenbezogenen Daten dürfen zu den in Absatz 2 Buchstabe h genannten Zwecken verarbeitet werden, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen einer Geheimhaltungspflicht unterliegt. (4) Die Mitgliedstaaten können zusätzliche Bedingungen, einschließlich Beschränkungen, einführen oder aufrechterhalten, soweit die Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten betroffen ist. Die Verarbeitung von Daten, aus denen besondere Informationen hervorgehen, ist prinzipiell untersagt. Solche besonders vor Verarbeitung schützenswerten Daten sind die rassische und ethnische Herkunft, die politische Meinung, die religiöse oder weltanschauliche Überzeugung und die Gewerkschaftszugehörigkeit. Außerdem fallen unter diese Kategorie genetische und biometrische Daten zur eindeutigen Identifizierung einer Person, Gesundheitsdaten, Daten zum Sexualleben sowie die sexuelle Orientierung einer Person. Die Verarbeitung dieser besonderen Arten personenbezogener Daten ist untersagt, wenn nicht eine der folgenden Bedingungen erfüllt ist: Einwilligung: Der Betroffene hat ausdrücklich und wirksam in die Verarbeitung besonderer Arten personenbezogener Daten für einen oder mehrere Zwecke eingewilligt. Rechte und Pflichten: Wenn die Verarbeitung für den Verantwortlichen notwendig ist um ihm obliegenden Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes auszuüben. Dasselbe gilt, wenn Rechte des Betroffenen aus den genannten 31. Januar 2017 Seite 29 von 117

30 Rechtsgebieten nur durch die Verarbeitung erfüllt werden können. Dies gilt nur, soweit diese Rechte und Pflichten durch geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person geschützt sind. Darunter fällt z. B. eine automatische Überweisung von Gewerkschaftsbeiträgen mittels Lohnabzug durch den Arbeitgeber. Lebenswichtige Interessen: Wenn die Verarbeitung zum Schutz lebenswichtiger Interessen des Betroffenen oder eines Dritten erforderlich sind und der Betroffene körperlich oder rechtlich nicht in der Lage ist eine Einwilligung abzugeben. Organisationen ohne Gewinnerzielungsabsicht bei Vorliegen gewisser Voraussetzungen: Organisationen ohne Gewinnerzielungsabsicht dürfen besondere Arten personenbezogener Daten verarbeiten, wenn geeignete Garantien vorliegen und die Verarbeitung im Rahmen ihrer rechtmäßigen Tätigkeit liegt. Die Verarbeitung darf sich nur auf Mitglieder und ehemalige Mitglieder der Organisation oder Personen, die regelmäßige Kontakte mit der Organisation unterhalten, beziehen. Die Daten dürfen nicht ohne Einwilligung des Betroffenen nach außen getragen werden. Zu diesen Organisationen gehören zum Beispiel politisch, weltanschaulich, religiös oder gewerkschaftlich gerichtete Stiftungen und Vereinigungen. Öffentlichkeit: Die Verarbeitung ist rechtmäßig, wenn der Betroffene die Daten offensichtlich öffentlich gemacht hat. Rechtsansprüche: Die Verarbeitung ist rechtmäßig, wenn sie zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. Öffentliches Interesse: Wenn die Verarbeitung aus einem erheblichen öffentlichen Interesse erforderlich ist und der Datenschutz gewahrt und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen des Betroffenen gegeben sind. Die Verarbeitung muss verhältnismäßig zum Ziel sein, welches durch Unionsrecht oder nationales Recht vorgegeben wird. Gesundheit: Die Verarbeitung ist rechtmäßig, wenn sie zur Gesundheitsvorsorge, Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich erforderlich ist. Diese Verarbeitung benötigt eine gesetzliche Grundlage und muss unter weiteren Bedingungen und Garantien erfolgen. Die Daten zum Zwecke der Gesundheit dürfen nur von Fachpersonal oder unter der Verantwortung von Fachpersonal verarbeitet werden. Das Fachpersonal muss rechtlich dem Berufsgeheimnis oder einer anderen Geheimhaltungspflicht unterliegen. Öffentliche Gesundheit: Besondere Arten personenbezogener Daten dürfen verarbeitet werden, wenn dies aus Gründen des öffentlichen Interesses oder der öffentlichen Gesundheit erforderlich ist. Dies ist zum Schutz vor grenzüberschreitenden Gesundheitsgefahren oder zur Aufrechterhaltung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung, bei Arzneimitteln und Medizinprodukten der Fall. Diese Verarbeitung muss auf einer rechtlichen Grundlage basieren und angemessene spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten des Betroffenen vorsehen. 31. Januar 2017 Seite 30 von 117

31 Gesetzliche Grundlage: Die Verarbeitung ist auch dann rechtmäßig, wenn eine rechtliche Grundlage besteht. Das Ziel der Rechtsgrundlage muss verhältnismäßig zur Verarbeitung sein. Dies ist bei Archivzwecken, zum Zweck der historischen oder wissenschaftlichen Forschung sowie bei statistischen Zwecken gegeben. i. Artikel 10 Verarbeitung von personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten Die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln aufgrund von Artikel 6 Absatz 1 darf nur unter behördlicher Aufsicht vorgenommen werden oder wenn dies nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, das geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen vorsieht, zulässig ist. Ein umfassendes Register der strafrechtlichen Verurteilungen darf nur unter behördlicher Aufsicht geführt werden. Personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln dürfen nur unter behördlicher Aufsicht oder wenn dies rechtlich vorgesehen ist, verarbeitet werden. Ein umfassendes Register der strafrechtlichen Verurteilungen darf nur unter behördlicher Aufsicht geführt werden. Dies trifft nicht auf Ordnungswidrigkeiten nach dem OWiG zu, da es hierfür kein Zentralregister gibt. j. Artikel 11 Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist (1) Ist für die Zwecke, für die ein Verantwortlicher personenbezogene Daten verarbeitet, die Identifizierung der betroffenen Person durch den Verantwortlichen nicht oder nicht mehr erforderlich, so ist dieser nicht verpflichtet, zur bloßen Einhaltung dieser Verordnung zusätzliche Informationen aufzubewahren, einzuholen oder zu verarbeiten, um die betroffene Person zu identifizieren. (2) Kann der Verantwortliche in Fällen gemäß Absatz 1 des vorliegenden Artikels nachweisen, dass er nicht in der Lage ist, die betroffene Person zu identifizieren, so unterrichtet er die betroffene Person hierüber, sofern möglich. In diesen Fällen finden die Artikel 15 bis 20 keine Anwendung, es sei denn, die betroffene Person stellt zur Ausübung ihrer in diesen Artikeln niedergelegten Rechte zusätzliche Informationen bereit, die ihre Identifizierung ermöglichen. 31. Januar 2017 Seite 31 von 117

32 Der für die Verarbeitung Verantwortliche darf Daten auch anonymisieren, d.h. den Personenbezug entfernen, wenn er nicht mehr erforderlich ist. Ein Beispiel wäre die Löschung der Daten von Bestellern von Eintrittskarten für eine Gemeindeveranstaltung oder die Löschung der Halterdaten verstorbener hundesteuerpflichtiger Hunde nach einer gewissen Zeit. Ein Aufbewahren der Daten ausschließlich zu Zwecken der Auskunftserteilung bei Anfragen etc. nach Art ist nicht erforderlich. k. Artikel 85 Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit (1) Die Mitgliedstaaten bringen durch Rechtsvorschriften das Recht auf den Schutz personenbezogener Daten gemäß dieser Verordnung mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit, einschließlich der Verarbeitung zu journalistischen Zwecken und zu wissenschaftlichen, künstlerischen oder literarischen Zwecken, in Einklang. (2) Für die Verarbeitung, die zu journalistischen Zwecken oder zu wissenschaftlichen, künstlerischen oder literarischen Zwecken erfolgt, sehen die Mitgliedstaaten Abweichungen oder Ausnahmen von Kapitel II (Grundsätze), Kapitel III (Rechte der betroffenen Person), Kapitel IV (Verantwortlicher und Auftragsverarbeiter), Kapitel V (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen), Kapitel VI (Unabhängige Aufsichtsbehörden), Kapitel VII (Zusammenarbeit und Kohärenz) und Kapitel IX (Vorschriften für besondere Verarbeitungssituationen) vor, wenn dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen. (3) Jeder Mitgliedstaat teilt der Kommission die Rechtsvorschriften, die er aufgrund von Absatz 2 erlassen hat, sowie unverzüglich alle späteren Änderungsgesetze oder Änderungen dieser Vorschriften mit. Die datenschutzrechtlichen Aspekte der DSGVO sind mit dem Recht auf freie Meinungsäußerung sowie der Informations-, Presse-, Wissenschafts- und Kunstfreiheit in Einklang zu bringen. Insbesondere die Pressegesetze und die Regelungen für den Rundfunk als nationale Gewährleistungen der Medienfreiheit müssen also mit den Vorgaben der DSGVO abgeglichen werden. l. Artikel 86 Verarbeitung und Zugang der Öffentlichkeit zu amtlichen Dokumenten Personenbezogene Daten in amtlichen Dokumenten, die sich im Besitz einer Behörde oder einer öffentlichen Einrichtung oder einer privaten Einrichtung zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe befinden, können von der Behörde oder der Einrichtung gemäß dem Unionsrecht oder dem Recht des Mitgliedstaats, dem die Behörde oder Einrichtung unterliegt, offengelegt werden, um den Zugang der Öffentlichkeit zu 31. Januar 2017 Seite 32 von 117

33 amtlichen Dokumenten mit dem Recht auf Schutz personenbezogener Daten gemäß dieser Verordnung in Einklang zu bringen. Der Zugang der Öffentlichkeit zu amtlichen Dokumente muss mit dem Recht auf Schutz personenbezogener Daten von den Behörden in Einklang gebracht werden. Zu diesem Zweck können amtliche Dokumente offengelegt werden, welche sich zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe im Besitz dieser Behörde befinden. Ein Beispiel hierfür sind die Handelsregister oder die Handwerksrollen. m. Artikel 87 Verarbeitung der nationalen Kennziffern Die Mitgliedstaaten können näher bestimmen, unter welchen spezifischen Bedingungen eine nationale Kennziffer oder andere Kennzeichen von allgemeiner Bedeutung Gegenstand einer Verarbeitung sein dürfen. In diesem Fall darf die nationale Kennziffer oder das andere Kennzeichen von allgemeiner Bedeutung nur unter Wahrung geeigneter Garantien für die Rechte und Freiheiten der betroffenen Person gemäß dieser Verordnung verwendet werden. In Anknüpfung an Art. 8 Abs. 7 EG-Datenschutzrichtlinie dürfen nationale Kennziffern eingesetzt werden. Solche Kennziffern könnten Sozialversicherungs- oder Steuernummern sein, wenn sie wie z. B. die schwedische personnummer oder die polnische Powszechny Elektroniczny System Ewidencji Ludności alle Bürger und Einwohner abdeckt. Dergleichen existiert in Deutschland nicht, somit ist diese Bestimmung i.w. nur eine Ermächtigung für den nationalen Gesetzgeber. n. Artikel 88 Datenverarbeitung im Beschäftigungskontext (1) Die Mitgliedstaaten können durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext, insbesondere für Zwecke der Einstellung, der Erfüllung des Arbeitsvertrags einschließlich der Erfüllung von durch Rechtsvorschriften oder durch Kollektivvereinbarung en festgelegten Pflichten, des Managements, der Planung und der Organisation der Arbeit, der Gleichheit und Diversität am Arbeitsplatz, der Gesundheit und Sicherheit am Arbeitsplatz, des Schutzes des Eigentums der Arbeitgeber oder der Kunden sowie für Zwecke der Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen und für Zwecke der Beendigung des Beschäftigungsverhältnisses vorsehen. (2) Diese Vorschriften umfassen angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz. 31. Januar 2017 Seite 33 von 117

34 (3) Jeder Mitgliedstaat teilt der Kommission bis zum 25. Mai 2018 die Rechtsvorschriften, die er aufgrund von Absatz 1 erlässt, sowie unverzüglich alle späteren Änderungen dieser Vorschriften mit. Die Mitgliedstaaten können spezifischere Vorschriften zum Schutz personenbezogener Daten im Beschäftigungskontext erlassen. Es ist abzuwarten, welche diesbezüglichen Vorschriften die Bundesrepublik bis zum 25. Mai 2018 erlassen wird. o. Artikel 89 - Garantien und Ausnahmen in Bezug auf die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken (1) Die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken unterliegt geeigneten Garantien für die Rechte und Freiheiten der betroffenen Person gemäß dieser Verordnung. Mit diesen Garantien wird sichergestellt, dass technische und organisatorische Maßnahmen bestehen, mit denen insbesondere die Achtung des Grundsatzes der Datenminimierung gewährleistet wird. Zu diesen Maßnahmen kann die Pseudonymisierung gehören, sofern es möglich ist, diese Zwecke auf diese Weise zu erfüllen. In allen Fällen, in denen diese Zwecke durch die Weiterverarbeitung, bei der die Identifizierung von betroffenen Personen nicht oder nicht mehr möglich ist, erfüllt werden können, werden diese Zwecke auf diese Weise erfüllt. (2) Werden personenbezogene Daten zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken verarbeitet, können vorbehaltlich der Bedingungen und Garantien gemäß Absatz 1 des vorliegenden Artikels im Unionsrecht oder im Recht der Mitgliedstaaten insoweit Ausnahmen von den Rechten gemäß der Artikel 15, 16, 18 und 21 vorgesehen werden, als diese Rechte voraussichtlich die Verwirklichung der spezifischen Zwecke unmöglich machen oder ernsthaft beeinträchtigen und solche Ausnahmen für die Erfüllung dieser Zwecke notwendig sind. (3) Werden personenbezogene Daten für im öffentlichen Interesse liegende Archivzwecke verarbeitet, können vorbehaltlich der Bedingungen und Garantien gemäß Absatz 1 des vorliegenden Artikels im Unionsrecht oder im Recht der Mitgliedstaaten insoweit Ausnahmen von den Rechten gemäß der Artikel 15, 16, 18, 19, 20 und 21 vorgesehen werden, als diese Rechte voraussichtlich die Verwirklichung der spezifischen Zwecke unmöglich machen oder ernsthaft beeinträchtigen und solche Ausnahmen für die Erfüllung dieser Zwecke notwendig sind. (4) Dient die in den Absätzen 2 und 3 genannte Verarbeitung gleichzeitig einem anderen Zweck, gelten die Ausnahmen nur für die Verarbeitung zu den in diesen Absätzen genannten Zwecken. Auch bei der Datenverarbeitung zu Archivzwecken sind geeignete Garantien zum Schutz der betroffenen Personen zu treffen. Auch hier ist ggf. abzuwarten, was der Gesetzgeber hier unternimmt. 31. Januar 2017 Seite 34 von 117

35 p. Artikel 91 - Bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gemeinschaften (1) Wendet eine Kirche oder eine religiöse Vereinigung oder Gemeinschaft in einem Mitgliedstaat zum Zeitpunkt des Inkrafttretens dieser Verordnung umfassende Regeln zum Schutz natürlicher Personen bei der Verarbeitung an, so dürfen diese Regeln weiter angewandt werden, sofern sie mit dieser Verordnung in Einklang gebracht werden. (2) Kirchen und religiöse Vereinigungen oder Gemeinschaften, die gemäß Absatz 1 umfassende Datenschutzregeln anwenden, unterliegen der Aufsicht durch eine unabhängige Aufsichtsbehörde, die spezifischer Art sein kann, sofern sie die in Kapitel VI niedergelegten Bedingungen erfüllt. Artikel 91 ist für die Kommunen nicht relevant, dieser betrifft Kirchen, religiöse Vereinigungen und Gemeinschaften und somit das Land bzw. den Landesgesetzgeber. IV. Erläuterung der Begriffsbestimmungen des Artikels 4 Im Sinne dieser Verordnung bezeichnet der Ausdruck: 1. personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden betroffene Person ) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann; 2. Verarbeitung jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung; 3. Einschränkung der Verarbeitung die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken; 4. Profiling jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen; 5. Pseudonymisierung die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr 31. Januar 2017 Seite 35 von 117

36 einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden; 6. Dateisystem jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird; 7. Verantwortlicher die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden; 8. Auftragsverarbeiter eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet; 9. Empfänger eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung; 10. Dritter eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten; 11. Einwilligung der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist; 12. Verletzung des Schutzes personenbezogener Daten eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden; 13. genetische Daten personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden; 14. biometrische Daten mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten; 31. Januar 2017 Seite 36 von 117

37 15. Gesundheitsdaten personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen; 16. Hauptniederlassung a) im Falle eines Verantwortlichen mit Niederlassungen in mehr als einem Mitgliedstaat den Ort seiner Hauptverwaltung in der Union, es sei denn, die Entscheidungen hinsichtlich der Zwecke und Mittel der Verarbeitung personenbezogener Daten werden in einer anderen Niederlassung des Verantwortlichen in der Union getroffen und diese Niederlassung ist befugt, diese Entscheidungen umsetzen zu lassen; in diesem Fall gilt die Niederlassung, die derartige Entscheidungen trifft, als Hauptniederlassung; b) im Falle eines Auftragsverarbeiters mit Niederlassungen in mehr als einem Mitgliedstaat den Ort seiner Hauptverwaltung in der Union oder, sofern der Auftragsverarbeiter keine Hauptverwaltung in der Union hat, die Niederlassung des Auftragsverarbeiters in der Union, in der die Verarbeitungstätigkeiten im Rahmen der Tätigkeiten einer Niederlassung eines Auftragsverarbeiters hauptsächlich stattfinden, soweit der Auftragsverarbeiter spezifischen Pflichten aus dieser Verordnung unterliegt; 17. Vertreter eine in der Union niedergelassene natürliche oder juristische Person, die von dem Verantwortlichen oder Auftragsverarbeiter schriftlich gemäß Artikel 27 bestellt wurde und den Verantwortlichen oder Auftragsverarbeiter in Bezug auf die ihnen jeweils nach dieser Verordnung obliegenden Pflichten vertritt; 18. Unternehmen eine natürliche und juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform, einschließlich Personengesellschaften oder Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen; 19. Unternehmensgruppe eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht; 20. verbindliche interne Datenschutzvorschriften Maßnahmen zum Schutz personenbezogener Daten, zu deren Einhaltung sich ein im Hoheitsgebiet eines Mitgliedstaats niedergelassener Verantwortlicher oder Auftragsverarbeiter verpflichtet im Hinblick auf Datenübermittlungen oder eine Kategorie von Datenübermittlungen personenbezogener Daten an einen Verantwortlichen oder Auftragsverarbeiter derselben Unternehmensgruppe oder derselben Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, in einem oder mehreren Drittländern; 21. Aufsichtsbehörde eine von einem Mitgliedstaat gemäß Artikel 51 eingerichtete unabhängige staatliche Stelle; 22. betroffene Aufsichtsbehörde eine Aufsichtsbehörde, die von der Verarbeitung personenbezogener Daten betroffen ist, weil a) der Verantwortliche oder der Auftragsverarbeiter im Hoheitsgebiet des Mitgliedstaats dieser Aufsichtsbehörde niedergelassen ist, b) diese Verarbeitung erhebliche Auswirkungen auf betroffene Personen mit Wohnsitz im Mitgliedstaat dieser Aufsichtsbehörde hat oder haben kann oder c) eine Beschwerde bei dieser Aufsichtsbehörde eingereicht wurde; 23. grenzüberschreitende Verarbeitung entweder a) eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten von Niederlassungen eines Verantwortlichen oder eines Auftragsverarbeiters in der Union 31. Januar 2017 Seite 37 von 117

38 in mehr als einem Mitgliedstaat erfolgt, wenn der Verantwortliche oder Auftragsverarbeiter in mehr als einem Mitgliedstaat niedergelassen ist, oder b) eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten einer einzelnen Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, die jedoch erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat hat oder haben kann; 24. maßgeblicher und begründeter Einspruch einen Einspruch gegen einen Beschlussentwurf im Hinblick darauf, ob ein Verstoß gegen diese Verordnung vorliegt oder ob beabsichtigte Maßnahmen gegen den Verantwortlichen oder den Auftragsverarbeiter im Einklang mit dieser Verordnung steht, wobei aus diesem Einspruch die Tragweite der Risiken klar hervorgeht, die von dem Beschlussentwurf in Bezug auf die Grundrechte und Grundfreiheiten der betroffenen Personen und gegebenenfalls den freien Verkehr personenbezogener Daten in der Union ausgehen; 25. Dienst der Informationsgesellschaft eine Dienstleistung im Sinne des Artikels 1 Nummer 1 Buchstabe b der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates (19); 26. internationale Organisation eine völkerrechtliche Organisation und ihre nachgeordneten Stellen oder jede sonstige Einrichtung, die durch eine zwischen zwei oder mehr Ländern geschlossene Übereinkunft oder auf der Grundlage einer solchen Übereinkunft geschaffen wurde. Der Artikel 4 bietet eine Auflistung an Begriffsbestimmungen, auf welche die Verordnung immer wieder Bezug nimmt. Anbei werden die Begriffe vereinfacht erklärt und zum Teil mit Beispielen ergänzt. 1. Personenbezogene Daten: Es handelt sich hierbei um Einzelangaben über persönliche oder auch sachliche Verhältnisse zu einer eindeutig bestimmbaren natürlichen Person. Eine Person gilt als bestimmbar, sobald sie direkt oder auch indirekt identifiziert werden kann, beispielsweise durch die Sozialversicherungsnummer, aus der auf die Beziehung zwischen einem Eintrag in einer Lohnbuchhaltung auf den richtigen Franz Müller geschlossen werden kann. Grundsätzlich sind demnach alle Daten, bei denen in irgendeiner Weise ein Personenbezug hergestellt werden kann, als personenbezogene Daten im Sinne dieser Verordnung zu verstehen. Das können auch z. B. Daten über Arbeitszeiten in einem Erfassungssystem sein, bei denen über die Personal- oder Chipkartennummer eine Beziehung zu einer konkreten Person hergestellt werden kann. Der Begriff personenbezogene Daten wurde vom europäischen Gesetzgeber sehr weit gefasst, was schon alleine durch den Wortlaut alle Informationen deutlich wird. Ziel ist es den Schutz der Grundrechte und Grundfreiheiten und den Schutz der Privatsphäre von natürlichen Personen bei der Verarbeitung personenbezogener Daten zu wahren. Diese Bestimmungen sollen dann Anwendung finden, wenn die Rechte einer Person bedroht sein könnten und geschützt werden müssen. Unter Berücksichtigung dessen soll der Begriff jedoch auch nicht zu stark ausgeweitet werden und ein angemessener Mittelweg gefunden werden. Beispiele für Angaben zu persönlichen und sachlichen Verhältnissen: 31. Januar 2017 Seite 38 von 117

39 körperliche Merkmale (Größe, Gewicht, Konfektionsmaße, Haarfarbe, Fingerabdrücke, Gesichtsausdruck, Gebärden), innere, geistige Zustände (Einstellungen, Motive, Wünsche, Einstellungen), Handlungen, Äußerungen und sonstige Verhaltensweisen (Reisen, besuchte Länder, Konsum- und Freizeitaktivitäten, ärztliche Behandlungen, Ausbildung, berufliche Tätigkeiten, Internet-Besuche, finanzielle Aktivitäten, Bezug von Leistungen), Werturteile, negative Angaben (nicht vorbestraft, Nichtschwimmer, keine Spanischkenntnisse) Verbindungen und Beziehungen (Verwandtschaftsverhältnisse, Freunde/Bekannte, Mitgliedschaften, Kontextinformationen bei Bild- und Tonaufnahmen), Namen und Namensersatzangaben (Geburtsnamen, frühere Namen, Künstler- oder Decknamen/Pseudonyme, Konto- und Kreditkartennummern, Telefonnummern, IP- Adressen, Personenkennzeichen, Autokennzeichen, Aktenzeichen, Sozialversicherungsnummer, Ausweisnummern, Kundennummern, Personalkennzeichen, Kenn- oder Schlüsselwort, PIN, Transaktionsnummer TAN, E- Mail-Adressen, Benutzernamen, genetische Fingerabdrücke, biometrische Daten). Fehlt zu Namen oder namensähnlichen Angaben jeder Kontext, so entfällt die Eigenschaft als personenbezogene Angabe. 2. Verarbeitung: Jeglicher Vorgang, der unmittelbar oder mittelbar auf die personenbezogenen Daten einwirkt sowie jede Form der Behandlung von personenbezogenen Daten stellt eine Verarbeitung im Sinne dieser Verordnung dar. Als nicht abschließende Beispiele wird das Erheben, Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung, die Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreiten oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, sowie das Löschen und Vernichten von Daten aufgezählt. Es genügt somit, dass sich die Daten in der Verfügungsgewalt befinden, um zum Verarbeiter i.s.d. Verordnung zu werden. 3. Einschränkung der Verarbeitung: Wird der Zugang zu Daten erschwert, so versteht man darunter eine Einschränkung der Verarbeitung. Analog könnte der Begriff sperren verwendet werden. 4. Profiling: Im Allgemeinen wird dabei für bestimmte Zwecke ein nutzbares Bild einer Persönlichkeit erstellt, ein sogenanntes Profil. Es bezeichnet jede Art der automatisierten Verarbeitung von Daten, um bestimmte persönliche Aspekte zu selektieren, um sie anschließend auszuwerten oder zu bewerten. Profiling wird häufig im beruflichen Bereich verwendet, beispielsweise bei einer Stellenbesetzung. Hier werden Daten einer Person wie bspw. Sprachkenntnisse oder Krankenstandstage gesammelt und ausgewertet um einen idealen internen Kandidaten aus einem Datenpool zu extrahieren. Profiling kann auch missbräuchlich verwendet werden, bspw. um zu versuchen, anhand aufgezeichneter Daten auf mögliche Ladendiebe im eigenen Personalstand zu schließen. 31. Januar 2017 Seite 39 von 117

40 5. Pseudonymisierung: Eine Pseudonymisierung liegt vor, wenn ein Name oder ein anderes Identifikationsmerkmal durch ein Kennzeichen ersetzt und damit die Bestimmung des Betroffenen wesentlich erschwert wird. Es stellt somit einen Kompromiss dar, zum einen Daten relativ anonymisiert zu verarbeiten und zum anderen in einem gewissen Rahmen Daten zu schützen. Beispiel wäre die Verwendung der Personalnummer in den Gehaltsabrechnungsdaten, die erst zu einem definierten Zeitpunkt mit dem tatsächlichen Namen verknüpft wird. 6. Dateisystem: Unter einem Dateisystem versteht man eine Ablageorganisation. Jede Art von Sammlung, welche strukturiert Daten zugänglich macht um diese zu lesen, zu ändern oder auch zu löschen. Es handelt sich hierbei nicht nur um elektronische Datensammlungen, sondern auch um papier- oder an ein sonstiges Medium gebundene Daten. 7. Verantwortlicher: Ein Verantwortlicher ist mit Pflichten belastet, welche sich im Bereich des Datenschutzes daraus ergeben, dass er über eine Datenverarbeitung die Verfügungs- und Entscheidungsgewalt hat. Demnach ist der Verantwortliche, welcher allein oder mit anderen gemeinsam über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. 8. Auftragsverarbeiter: Ein Auftragsbearbeiter stellt jede Person oder Stelle dar, welche im Auftrag des Verantwortlichen Daten verarbeitet. Merkmal dabei ist der Wortlaut im Auftrag was bedeutet, er handelt nicht für sich selbst, sondern verpflichtet sich gegenüber dem Verantwortlichen zu einer Geschäftsbesorgung. Die kommunalen Datenverarbeitungsverbünde sind Auftragsverarbeiter der verantwortlichen Kommunen. 9. Empfänger: Empfänger ist jede Person oder Stelle, die Daten erhält. Erhalten bedeutet Gelegenheit zur Kenntnisnahme oder Nutzung zu bekommen. Dazu gehört auch der bei arbeitsteiliger Organisation ebenso unverzichtbare wie selbstverständliche Datenfluss in der Hierarchie, zwischen beteiligten Organisationseinheiten, innerhalb von Arbeitsteams und zwischen dem Beschäftigten und seinen Vertretern sowie Vorgängern und Nachfolgern auf seinem Arbeitsplatz. 10. Dritter: Dritter ist jeder, der außerhalb des Verhältnisses von Verantwortlichem oder Auftragsverarbeiter von personenbezogenen Daten Kenntnis erhält oder weiterverarbeitet. 11. Einwilligung: 31. Januar 2017 Seite 40 von 117

41 Eine Einwilligung ist eine freiwillig und im Regelfall vorab erteilte Zustimmung. Diese Zustimmung muss zweifelsfrei bestätigen, dass die betroffene Person mit der Verarbeitung der betreffenden Daten einverstanden ist. 12. Verletzung des Schutzes personenbezogener Daten: Letztendlich alles, was dazu führt, dass Unbefugte die Daten erhalten bzw. einsehen können. 13. Genetische Daten: Der Europarat versteht unter dem Begriff genetische Daten alle Daten, gleich welchen Typs, über die Erbmerkmale einer Person oder über das für diese Merkmale typische Vererbungsmuster innerhalb einer miteinander verwandten Gruppe von Personen. Im Einzelnen könnten dies die biologische Abstammung, Krankheitsdispositionen, aber auch Informationen über gewisse Fähigkeiten oder Lebensumstände sein. 14. Biometrische Daten: Biometrie bezeichnet die Wissenschaft der Körpermessung am Lebewesen. Biometrische Verfahren nutzen physiologische Charakteristika (Fingerabdruck, Gesicht, Muster der Iris) oder verhaltensbedingte Merkmale (Schreibverhalten, Lippenbewegung, Stimme) zum Zweck der Identifikation einer Person. Dazu werden bei erstmaliger Aufnahme in ein biometrisches Verfahren (so genanntes Einlernen oder Enrollment) ausgewählte Merkmale der betroffenen Person vermessen und mittels eines Algorithmus in einen Datensatz umgewandelt. Von besonderer Bedeutung sind hier Bilder von Überwachungskameras, welch eine biometrische Identifikation ermöglichen. 15. Gesundheitsdaten: Gesundheitsdaten sind Daten über den physischen oder psychischen Zustand, die (bedingt) im Zusammenhang mit einem medizinischen Kontext entstehen können. Darunter fallen auch Information über Unfälle (Beinbruch), Sehverhalten (Brille oder Kontaktlinsen), über intellektuelle oder mentale Fähigkeiten (IQ), zu Trink- oder Rauchverhalten, Allergien oder Beteiligung an einer Selbsthilfegruppe (Weight Watchers, Anonyme Alkoholiker etc.). Der Begriff kann weit ausgelegt werden. So ist es auch möglich, dass für sich genommen völlig belanglose Daten, wie etwa die tägliche Schrittzahl, in Kombination mit anderen Informationen, aus denen man dann auf den Gesundheitszustand schließen kann, zu Gesundheitsdaten werden. 16. Hauptniederlassung: Die Hauptniederlassung eines Verantwortlichen im Sinne dieser Verordnung ist in dem Ort, in welchem er seine Niederlassung hat oder im Falle von mehreren Niederlassungen, dort wo er seine Hauptverwaltung hat. Abweichend davon kann dies aber auch der Ort sein, in welcher die Niederlassung sich befindet, welche Entscheidungen zwecks der Verarbeitung personenbezogener Daten fällt. Diese Niederlassung muss dann aber gleichzeitig auch die Befugnis haben Entscheidungen umzusetzen. Dann ist abweichend von der eigentlichen Hauptniederlassung eine andere Niederlassung als Hauptniederlassung im Sinne dieser 31. Januar 2017 Seite 41 von 117

42 Verordnung zu verstehen. Sollte ein Auftragsverarbeiter an mehr als einem Ort oder an keinem Ort der Union eine Niederlassung haben, so ist als Ort der Hauptniederlassung anzunehmen, wo die Verarbeitungstätigkeiten hauptsächlich stattfinden. Von Interesse kann das bspw. bei Eigenbetrieben oder städtischen Unternehmen in privatrechtlichen Rechtsformen sein, die Niederlassungen in anderen Gemeinden, Bundesländern und Staaten unterhalten. Von besonderer Bedeutung ist dies bei der Bestimmung der zuständigen Aufsichtsbehörde, bei Kommunen wird stets davon auszugehen sein, dass die Hauptniederlassung unstrittig ist. 17. Vertreter: Ein Vertreter ist eine Person, die befugt ist, aufgrund gesetzlicher Vorschriften für einen anderen rechtsverbindliche Erklärungen abzugeben oder entgegenzunehmen. Er vertritt dabei die Pflichten des Verantwortlichen oder des Auftragsverarbeiter. 18. Unternehmen: Ein Unternehmen ist eine wirtschaftlich-finanzielle und rechtliche Einheit, für die das erwerbswirtschaftliche Prinzip konstituierend ist. Formales Merkmal ist in allen Fällen die Rechtsträgerschaft (z.b. GmbH, AG), durch die die wirtschaftlich-finanzielle Einheit überhaupt erst in seiner spezifischen Struktur der Eigentümerverhältnisse entsteht und durch einen Zweck definiert wird. Aber auch natürliche Personen, Vereinigungen und Personengesellschaften zählen als Unternehmen, wenn sie regelmäßig einer wirtschaftlichen Tätigkeit nachgehen. Als wirtschaftliche Tätigkeiten gelten sämtliche Tätigkeiten der Produktion von Gütern und Dienstleistungen, welche im System der volkswirtschaftlichen Gesamtrechnung definiert sind. 19. Unternehmensgruppe: Eine Unternehmensgruppe ist eine zusammengeschlossene Gruppe an. Diese besteht aus einem herrschenden Unternehmen und dem angeschlossene Unternehmen. 20. Verbindliche interne Datenschutzvorschriften: Verbindliche interne Datenschutzvorschriften sind Maßnahmen zum Schutz personenbezogener Daten innerhalb eines Unternehmens oder einer Unternehmensgruppe. Niedergelassene Verantwortliche oder Auftragsverarbeiter in einem Hoheitsgebiet haben sich zu deren Einhaltung verpflichtet. 21. Aufsichtsbehörde: Die Aufsichtsbehörde ist eine von einem Mitgliedstaat gemäß Artikel 51 eingerichtete unabhängige staatliche Stelle, welche für Verstöße gegen diese Verordnung zuständig ist 22. Betroffene Aufsichtsbehörde: Betroffen ist die jeweilige Aufsichtsbehörde (siehe Ziffer 21), bei welcher - sich die Niederlassung des Verantwortlichen oder Auftragsverarbeiters, welcher personenbezogene Daten verarbeitet, im Hoheitsgebiet der Behörde befindet. 31. Januar 2017 Seite 42 von 117

43 - die Verarbeitung personenbezogener Daten Auswirkungen auf im Hoheitsgebiet dieser Behörde wohnhafte Personen hat. - die jeweilige Behörde, bei welcher eine Beschwerde eingereicht wurde. Die praktische Handhabung der Behördenzuständigkeit wird sich nach Einführung zeigen; für Kommunen scheint dies unkritisch zu sein, da hier kaum Potenzial für Zuständigkeitsstreitigkeiten besteht. 23. Grenzüberschreitende Verarbeitung: Als grenzüberschreitende Verarbeitung bezeichnet diese Verordnung zwei Fälle. Zum einen die Verarbeitung personenbezogener Daten durch einen Verantwortlichen oder Auftragsverarbeiters, welcher in mehr als einem Mitgliedstaat der Union niedergelassen ist und dem zufolge die Verarbeitung in mehreren Niederlassungen erfolgt. Zum anderen die Verarbeitung personenbezogener Daten durch einen Verantwortlichen oder Auftragsverbeiters, welche erhebliche Auswirkungen auf betroffene Personen in mehreren Mitgliedstaaten haben könnte. 24. Maßgeblicher und begründeter Einspruch: Von einem maßgeblichen und begründeten Einspruch ist dann auszugehen, wenn ein Einspruch gegen einen Beschlussentwurf vorliegt, welcher auf einen Verstoß gegen diese Verordnung schließen lässt. Möglich ist auch ein Einspruch gegen eine beabsichtigte Maßnahme des Verantwortlichen oder des Auftragsverarbeiters, welche nicht im Einklang mit der Verordnung steht. Dabei müssen die Risiken der Grundrechte und Grundfreiheiten betroffener Personen hervorgehen. 25. Dienst der Informationsgesellschaft: Als Dienst der Informationsgesellschaft wird eine Dienstleistung im Sinne des Artikels 1 Nummer 1 Buchstabe b der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates (19) bezeichnet. Artikel 1 Nr. 1 b (EU) 2015/1535: Dienste einer Dienstleistung der Informationsgesellschaft, d.h. jede in der Regel gegen Entgelt elektronisch im Fernabsatz und individuellen Abruf eines Empfängers erbrachte Dienstleistung. Im Sinne dieser Definition bezeichnet der Ausdruck I. im Fernabsatz erbrachte Dienstleistungen eine Dienstleistung, die ohne gleichzeitige physische Anwesenheit der Vertragsparteien erbracht wird; II. elektronisch erbrachte Dienstleistung eine Dienstleistung, die mittels Geräten für die elektronische Verarbeitung (einschließlich digitaler Kompression) und Speicherung von Daten am Ausgangspunkt gesendet und am Endpunkt empfangen wird und die 31. Januar 2017 Seite 43 von 117

44 III. vollständig über Draht, über Funk, auf optischem oder andrem elektronmagnetischem Wege gesendet, weitergeleitet und empfangen wird; auf individuellen Abruf eines Empfängers erbrachte Dienstleistung eine Dienstleistung die durch die Übertragung von Daten auf individuelle Anforderung erbracht wird. Nicht zu den o.g. Diensten zählt I. Untersuchung oder Behandlung in der Praxis eines Arztes mithilfe elektronischer Geräte, aber in Anwesenheit des Patienten II. Konsultation eines elektronischen Katalogs in einem Geschäft in Anwesenheit des Kunden III. Bereitstellung elektronischer Spiele in einer Spielhalle in Anwesenheit der Benutzer IV. Dienste, die zwar mit elektronischen Geräten, aber in materieller Form erbracht werden (Geldausgabe-/Fahrkartenautomaten, Zugang zu gebührenpflichtigen Straßennetzen/Parkplätzen etc.) V. Offline-Dienste Vertrieb von CD-ROM VI. Dienste, die nicht über elektronische Verarbeitungs- und Speicherungssysteme erbracht werden (Sprachtelefondienst, medizinische oder anwaltliche Beratung am Telefon, Direktmarketing per Telefon) VII. Dienste, die im Wege einer Übertragung von Daten ohne individuellen Abruf gleichzeitig für eine unbegrenzte Zahl von einzelnen Empfängern erbracht werden (Fernsehdienste, Hörfunkdienste, Teletext) 26. Internationale Organisation: Eine Internationale Organisation im völkerrechtlichen Sinne ist ein Zusammenschluss von mindestens zwei Staaten oder anderen Völkerrechtssubjekten, welcher auf Dauer angelegt ist, sich in der Regel über nationale Grenzen hinweg betätigt und überstaatliche Aufgaben erfüllt. 31. Januar 2017 Seite 44 von 117

45 Abschnitt 2: Rechte der Betroffenen Artikel 13 Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person (1) Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit: a) den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters; b) gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten; c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung; d) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden; e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und f) gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind. (2) Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten: a) die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer; b) das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit; c) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird; d) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde; e) ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und 31. Januar 2017 Seite 45 von 117

46 f) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und zumindest in diesen Fällen aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person. (3) Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung. (4) Die Absätze 1, 2 und 3 finden keine Anwendung, wenn und soweit die betroffene Person bereits über die Informationen verfügt. I. Erklärung der Rechtsnorm Artikel 13 bildet einen umfangreichen Katalog an Informationspflichten gegenüber dem Betroffenen ab. Hatte der ursprüngliche Entwurf der Kommission noch die Formulierung teilt [ ] zumindest folgendes mit enthalten, ist der Katalog an Informationen nun abschließend verfasst. 1 Dieser Artikel regelt Datenerhebungen, die direkt beim Betroffenen stattfinden während im nachfolgenden Artikel die Erhebung der Daten bei einem Dritten erfolgt. Die Informationen sollen ohne Aufforderung (keine Antragserfordernis) zum Zeitpunkt der Erhebung der personenbezogenen Daten an die Person mitgeteilt werden. Da bei einer Datenerhebung beim Betroffenen in den direkten Kontakt getreten wird, gestaltet dies die Informationspflicht möglicherweise einfacher. Eine Differenzierung bezüglich der Tiefe des Eingriffs ist dabei jedoch nicht ersichtlich. Zweck dieser Pflicht ist es, den Einzelnen vor unbegrenzter Verarbeitung seiner persönlichen Daten zu schützen. Unter Datenverarbeitung sind dabei auch Vorgänge wie die Erhebung, Speicherung oder Weitergabe der Daten zu fassen. Durch die Informationen wird eine Transparenz geschaffen, die es dem Betroffenen überhaupt ermöglicht, zu erkennen, inwieweit Daten über ihn verarbeitet werden und welche Stellen dies betrifft. Artikel 13 Abs. 2 ergänzt in diesem Zusammenhang weitere Informationsbestände die eine faire und transparente Verarbeitung gewährleisten sollen. Transparenz bedeutet also klare Information über die Umstände der Datenverarbeitung und beinhaltet weiterhin auch eine Aufklärung darüber, welche Rechte von Seiten des Betroffenen damit verbunden sind. 2 Erst so kann die informationelle Selbstbestimmung ausgeübt werden und dem Grunde nach selbst bestimmt werden, wann und in welchem Umfang persönliche Daten zur Verarbeitung bereitgestellt werden. 3 Hierbei stellt sich andererseits die Frage, inwieweit der Nutzer diese Informationen auch in jedem Fall erhalten möchte. Ab einer bestimmten Datenmenge wäre 1 Artikel 14 Nr. 1 Entwurf vom / 3 Selbstbestimmung/informationelle-selbstbestimmung_node.html 31. Januar 2017 Seite 46 von 117

47 es durchaus denkbar, dass der Empfänger die Informationen lediglich zur Kenntnis nimmt ohne sich konkret mit der Bedeutung auseinanderzusetzen und somit die Informationspflicht den gewünschten Effekt nicht erzielt. Hat der Betroffene eine Einwilligung zur Datenerhebung erteilt, kann er diese jederzeit widerrufen. Die Rechtmäßigkeit der bis dahin vorgenommenen Verarbeitungen bleibt dabei jedoch erhalten. Die Bestimmungen der Verordnung gehen über die bisherigen Informationspflichten des 4 BDSG hinaus. Folgende Neuerungen ergeben sich hieraus: - An Stelle der Identität der verantwortlichen Stelle sollen Kontaktdaten des Verantwortlichen, dessen Vertreters sowie des Datenschutzbeauftragten mitgeteilt werden. Der Verantwortliche muss zudem die Dauer der Speicherung oder die Kriterien zu deren Festlegung mitteilen. - Die Rechtsgrundlage für die Verarbeitung ist anzugeben und gegebenenfalls das berechtigte Interesse an der Verarbeitung - Waren bisher nur im Einzelfall die Kategorien von Empfängern zu benennen, hat dies jetzt ohne Beschränkung zu erfolgen - Wird beabsichtigt die Daten an ein Drittland oder eine internationale Organisation zu übermitteln, ist diese Absicht bekanntzugeben. Dabei muss auch mitgeteilt werden, ob für das Drittland ein Angemessenheitsbeschluss der Kommission vorliegt, es sich demnach um ein sicheres Drittland handelt. Fehlt dieser Beschluss, sollte der Auftragsverarbeiter als Ausgleich geeignete Garantien für den Schutz des Betroffenen vorsehen (108). - Wird für die Verarbeitung eine automatisierte Entscheidungsfindung verwendet, müssen hierüber deren Logik, die Tragweite und die damit angestrebten Auswirkungen genauer dargestellt werden - Über eine Weiterverarbeitung ist ebenso entsprechend dem Artikel 13 zu informieren. Eine erneute Klarstellung der Betroffenenrechte inklusive. Die Informationspflicht findet keine Anwendung, wenn der Betroffene die Informationen bereits erhalten hat. II. Empfehlungen zur Umsetzung Anforderungen an die Form und den Zeitpunkt der Mitteilung sind zu beachten. Pragmatischerweise wird die Übergabe eines standardisierten Informationsblattes zu empfehlen sein. III. Interessante Fragen Die Öffnungsklausel in Artikel 23 erlaubt Einschränkungen der in den Artikeln und 34 sowie 5 festgeschriebenen Rechte durch den nationalen Gesetzgeber, unter bestimmten, streng auszulegenden Voraussetzungen, die den Wesenskern der Rechte erhalten. Hier wird abzuwarten sein, wie der deutsche Gesetzgeber agiert. 31. Januar 2017 Seite 47 von 117

48 Artikel 14 - Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden (1) Werden personenbezogene Daten nicht bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person Folgendes mit: a) den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters; b) zusätzlich die Kontaktdaten des Datenschutzbeauftragten; c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung; d) die Kategorien personenbezogener Daten, die verarbeitet werden; e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten; f) gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an einen Empfänger in einem Drittland oder einer internationalen Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, eine Kopie von ihnen zu erhalten, oder wo sie verfügbar sind. (2) Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person die folgenden Informationen zur Verfügung, die erforderlich sind, um der betroffenen Person gegenüber eine faire und transparente Verarbeitung zu gewährleisten: a) die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer; b) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden; c) das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung und eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit; d) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird; e) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde; f) aus welcher Quelle die personenbezogenen Daten stammen und gegebenenfalls ob sie aus öffentlich zugänglichen Quellen stammen; g) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und zumindest in diesen Fällen aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person. (3) Der Verantwortliche erteilt die Informationen gemäß den Absätzen 1 und Januar 2017 Seite 48 von 117

49 a) unter Berücksichtigung der spezifischen Umstände der Verarbeitung der personenbezogenen Daten innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, längstens jedoch innerhalb eines Monats, b) falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an sie, oder, c) falls die Offenlegung an einen anderen Empfänger beabsichtigt ist, spätestens zum Zeitpunkt der ersten Offenlegung. (4) Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erlangt wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung. (5) Die Absätze 1 bis 4 finden keine Anwendung, wenn und soweit a) die betroffene Person bereits über die Informationen verfügt, b) die Erteilung dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde; dies gilt insbesondere für die Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke vorbehaltlich der in Artikel 89 Absatz 1 genannten Bedingungen und Garantien oder soweit die in Absatz 1 des vorliegenden Artikels genannte Pflicht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt In diesen Fällen ergreift der Verantwortliche geeignete Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person, einschließlich der Bereitstellung dieser Informationen für die Öffentlichkeit, c) die Erlangung oder Offenlegung durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt und die geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsehen, ausdrücklich geregelt ist oder d) die personenbezogenen Daten gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten dem Berufsgeheimnis, einschließlich einer satzungsmäßigen Geheimhaltungspflicht, unterliegen und daher vertraulich behandelt werden müssen. I. Erklärung der Rechtsnorm Auch im Fall einer Datenerhebung, die nicht beim Betroffenen direkt erfolgt, sind die Informationspflichten einzuhalten. Der Katalog entspricht zu großen Teilen den bereits in Artikel 13 aufgeführten Angaben. Da die Daten hier aus anderen Quellen erhoben werden, ist der Betroffene über diese zu informieren, inklusive der Angabe ob es sich um eine öffentlich zugängliche Quelle handelt. Die Informationen müssen hier innerhalb einer angemessenen Frist, spätestens innerhalb eines Monats, erteilt werden. Anders im Falle der Nutzung zur Kontaktaufnahme mit dem Betroffenen oder Weiterleitung an einen Empfänger. In diesen Fällen hat die Information bereits bei Kontaktaufnahme oder erster Übermittlung zu 31. Januar 2017 Seite 49 von 117

50 erfolgen. Fraglich ist, ob diese Zeitspanne bei den dementsprechend umfassenden Anforderungen, ohne weiteres umsetzbar ist. 4 Auf die umfassende Information kann lediglich in folgenden Fällen verzichtet werden: - Die Information ist unmöglich oder unverhältnismäßig aufwendig - Die Erhebung oder Übermittlung ist durch Rechtsvorschrift vorgeschrieben - Es besteht ein Berufsgeheimnis oder eine sonstige satzungsmäßige Geheimhaltungspflicht 5 Damit werden die bisherigen Ausnahmetatbestände des BDSG verringert. II. Empfehlungen zur Umsetzung Es ist wiederum auf die Form und den Zeitpunkt der Mitteilung zu achten. III. Interessante Fragen Der Unterschied zwischen Artikel 13 und 14 ist, dass hier bei Artikel 14 die Daten indirekt erhoben werden, d.h. nicht bei der betroffenen Person Diese jedoch ungeachtet dessen innerhalb einer angemessenen Frist, längstens eines Monats, über die Erhebung zu informieren ist. Artikel 15 - Auskunftsrecht der betroffenen Person (1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen: a) die Verarbeitungszwecke; b) die Kategorien personenbezogener Daten, die verarbeitet werden; c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen; d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer; e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung; f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde; 4 Vgl. (per ) 5 Ibid. 31. Januar 2017 Seite 50 von 117

51 g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten; h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und zumindest in diesen Fällen aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person. (2) Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die geeigneten Garantien gemäß Artikel 46 im Zusammenhang mit der Übermittlung unterrichtet zu werden. (3) Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt. (4) Das Recht auf Erhalt einer Kopie gemäß Absatz 1b darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. I. Erklärung der Rechtsnorm Der Artikel 15 der EU-DSGVO räumt den Betroffenen eine große Auswahl an Auskunftsrechten zur Verarbeitung ihrer persönlichen Daten ein, die aufgrund ihres Umfangs für die zuständigen Stellen einen enormen Arbeitsaufwand bedeuten können. Im ersten Absatz des Artikels werden hierbei die zahlreichen Bestandteile dieser Auskunft aufgezählt, welche auf Anfrage des Betroffenen offengelegt werden müssen - sofern dies nicht gegen die gesetzesimmanente Schranke aus Absatz 4, das Recht anderer Personen auf Schutz ihrer Daten, verstößt. Grundsätzlich besteht das Recht auf eine Auskunft lediglich dann, wenn tatsächlich Daten der betroffenen Person verarbeitet werden. Jedoch kann bereits die Frage nach dem ob für Verwaltungen in eine groß angelegte Suchaktion ausarten, da in der Theorie sämtliche Vorgänge und Speichermedien auch Papier! - nach relevanten Daten durchsucht werden müssen, was bereits bei einer einzelnen Person hohe Aufwände bedeutet. Die Zusammenstellung der jeweiligen Daten in ein Format, welches nach Absatz 3 gängig ist, stellt jedoch die größte Hürde in diesem Verfahren dar: Aus sämtlichen Akten, internen IT- Systemen etc. müssen die angeforderten Daten herausgefiltert, zusammengestellt und in einem passenden Format zur Verfügung gestellt werden. II. Empfehlungen zur Umsetzung Für die Umsetzung dieser Richtlinie wäre es beispielsweise notwendig, einen automatisierten, IT-gestützten Prozess zu erstellen, welcher automatisch sämtliche Datenbanken mit bestimmten Stichwörtern durchsucht und alle Ergebnisse in eine Datenbank schreibt, welche vom Betroffenen mit entsprechendem Log-In (Stichwort 31. Januar 2017 Seite 51 von 117

52 rechtssichere Identifikation) geöffnet und durchsucht werden kann. Für die Papierakten ist ein solcher Prozess jedoch nicht ohne weiteres möglich, weswegen hier ein effizientes Dokumentenverwaltungssystem benötigt wird, welches die Suche nach bestimmten Akten, die eine einzelne Person betreffen, erforderlich wäre. Jede einzelne Akte jedoch zu durchsuchen, ist offensichtlich nicht machbar, obwohl dies in der Intention des Gesetzgebers eine notwendige Maßnahme für die korrekte Erfüllung der Rechtsnorm wäre. III. Interessante Fragen Wie können kommunale Verwaltungen auf solch groß angelegten Suchprozesse vorbereitet werden? à Indem bereits beim Entwurf der Informationsverarbeitungssysteme (Fachanwendungen) diese Anforderungen berücksichtigt werden. Welche technischen Umsetzungsmöglichkeiten bestehen für das Anlegen eines automatisierten Suchprozesses? à Die technische Umsetzbarkeit besteht; allerdings ist fraglich, ob für bereits existierende Fachanwendungen diese Funktionalität kostengünstig nachgerüstet werden kann. Dies wäre ggf. zu prüfen Welche Vorgänge wären nötig, um einen solchen Prozess effizient zu realisieren? à Dies hängt vom Prozess und von den eingesetzten Systemen ab und wäre, bspw. innerhalb eines EU-DSGVO-Fitnesschecks zu prüfen. Artikel 16 - Recht auf Berichtigung Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten auch mittels einer ergänzenden Erklärung zu verlangen. I. Erklärung der Rechtsnorm Sobald die betroffene Person über die über sie vorliegenden Daten Bescheid weiß, räumt ihr Artikel 16 der EU-DSGVO das Recht ein, diese Daten abzuändern, sofern es sich hierbei um inkorrekte oder unvollständige Daten handelt. Auch hier ergibt sich wieder ein großer Handlungsbedarf für die betroffenen Verwaltungen, da eine Korrektur der Daten an sämtlichen Stellen durchführbar sein muss. Auch der Zeithorizont stellt eine große Hürde dar, da Artikel 16 die unverzügliche Berichtigung der Daten vorsieht, somit sind längere Wartezeiten hier unangebracht. II. Empfehlungen zur Umsetzung Da es sich bei dem Recht aus Artikel 16 um ein solches handelt, für das der Lesezugriff auf die vorhandenen Daten nicht genügt, sondern auch eine manuelle Korrektur der fehlerhaften 31. Januar 2017 Seite 52 von 117

53 Daten nötig ist, kann hierfür kein vollautomatisierter Prozess erstellt werden. Für eine möglichst schnelle Abwicklung wäre demnach ein unternehmensweites Datenmodell vorteilhaft, bspw. hochgradig integrierte ERP-Systeme wie SAP. Einzelne, isolierte Insellösungen erschweren die Umsetzung erheblich. III. Interessante Fragen Wenn die Verarbeitung der Daten nicht mehr erforderlich ist, bspw. die Meldedaten von vor Jahren weggezogenen Personen, verbietet sich möglicherweise eine Aktualisierung. Heiratet eine Person, die 2001 in Sindelfingen gelebt hat und seit 2002 nicht mehr in Sindelfingen wohnt und ändert hierbei ihren Namen, ist eine Aktualisierung vermutlich sogar unzulässig Da diese Daten in Sindelfingen höchstens noch aus historischen Gründen benötigt werden. Artikel 17 - Recht auf Löschung ( Recht auf Vergessenwerden ) (1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft: a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig. b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung. c) Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch gegen die Verarbeitung ein. d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet. e) Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt. f) Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben. (2) Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er gemäß Absatz 1 zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat. (3) Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung erforderlich ist 31. Januar 2017 Seite 53 von 117

54 a) zur Ausübung des Rechts auf freie Meinungsäußerung und Information; b) zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde; c) aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Artikel 9 Absatz 2 Buchstaben h und i sowie Artikel 9 Absatz 3; d) für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1, soweit das in Absatz 1 genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder e) zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. I. Erklärung der Rechtsnorm Ein weiterer massiver Eingriff in die Verwaltungsarbeit stellt Artikel 17 der EU-DSGVO dar. Das Recht auf Löschung beinhaltet die Möglichkeit für den Betroffenen, die über ihn vorliegenden personenbezogenen Daten auf Anfrage innerhalb kürzester Zeit zu löschen, sofern einer von verschiedenen Gründen aus Absatz 1 hierfür vorliegt. Der Umfang der Löschung der personenbezogenen Daten stellt ein zentrales Problem für die betroffenen Institutionen dar. In der Theorie müssten beispielsweise Bußgeldstellen die Akten und vorliegenden Daten innerhalb von Akten vernichten, sobald die Fälle abgearbeitet wurden - was für eine spätere Betrachtung der Fallakten zu einem großen Problem führt. Allein die Löschung selbst stellt ein schwieriges Unterfangen dar, da sich die Daten an völlig verschiedenen Stellen und in unterschiedlicher Form befinden können - elektronisch oder auf Papier, in Archiven, in großen nicht indizierten Datenbanken und so weiter. Erschwert wird dies darüber hinaus durch den Absatz 2 des Artikels, da die betroffene Stelle auch angemessene Maßnahmen ergreifen muss, an die Öffentlichkeit gebrachte Daten nachträglich zu löschen, genau wie alle Links bzw. Verweise sowie Kopien und Replikationen dieser Daten. Ein Nachvollziehen, an welchen Orten sich all diese Daten befinden, ist nahezu unmöglich. Abs. 2 fordert, dass der für die Verarbeitung Verantwortliche, d.h. hier die Kommune, alle anderen für die Verarbeitung Verantwortlichen informiert, dass die Daten gelöscht werden sollten. Dies ist technisch völlig unmöglich, da es beispielweise keine Wege gibt alle diejenigen, die ein im Internet veröffentlichtes Bild kopiert und gespeichert haben, zu ermitteln und zu benachrichtigen. Auch bei einem sozialen Medium wie z. B. Facebook ist es zweifelhaft, ob ein z. B. indischer Nutzer, der diesen Beitrag geteilt hat, einen Hinweis in deutscher oder auch englischer Sprache versteht. II. Empfehlungen zur Umsetzung Auch hierfür wäre ein automatisierter Prozess notwendig, ähnlich wie bei der Suche nach Daten für die Erstellung einer Auskunft. Der Unterschied hierzu wäre jedoch, dass diese Daten dann gelöscht werden müssen - was sich insbesondere aus technischer Sicht erneut 31. Januar 2017 Seite 54 von 117

55 als schwer durchführbar herausstellt, da ein sicheres Löschen von Festplatten einen großen Zeitaufwand darstellt, welcher den normalen Tagesbetrieb zum Erliegen bringen kann. Letztendlich ist anzuraten, eine vollständige tabellarische Übersicht zu erstellen, welche Rechtsnormen einer Löschung bestimmter Daten entgegenstehen. So kann bspw. die Notwendigkeit für z. B. Stadtwerke, Buchungsbelege nach 257 Abs. 4 HGB zehn Jahre aufzubewahren, einer Löschung mindestens so lange entgegenstehen. Ebenso wird die Aufbewahrung von Wahlunterlagen wie bspw. Niederschriften über Sitzungen der Wahlorgane bei Kommunalwahlen durch 57 KomWO determiniert und steht somit einer Löschung entgegen. Die Erstellung einer derartigen Tabelle ist sicherlich aufwändig, sie kann aber von mehreren Kommunen gemeinsam, bspw. über Zweckverbände oder Städte- bzw. Gemeindetage koordiniert, erstellt und allgemein zur Verfügung gestellt werden. III. Interessante Fragen Kann das Recht auf Vergessenwerden durch eine physische Löschung überhaupt realisiert werden? à Eine Löschung passiert regelmäßig nur in der aktiven Version der Datenbank bzw. des Datenbestandes Nicht betroffen sind Sicherungen. Dies hat zur Folge, dass zwar in der aktiven Datenbank Hundesteuerfachanwendung ein Eintrag gelöscht wurde, dieser aber auf zig historischen Sicherungsdatenträgern nach wie vor vorhanden ist. Bei gängigen Datenbankprodukten erfolgt die Sicherung nicht auf Ebene der einzelnen Datensätze, sondern stets auf Ebene der ganzen Datenbank oder allerwenigstens ganzer Dateien, die zueinander konsistent sein müssen 6. Die Löschung einzelner Datensätze aus historischen Sicherungen ist nicht möglich, ohne dabei die gesamte Sicherung zu zerstören 7. Dies bedeutet u.a., dass z. B. wegen der Löschung eines Eintrages betreffend das Meldewesen der Stadt Sindelfingen Sicherungen faktisch zerstört werden müssten, welche auch das Meldewesen der Stadt Böblingen betreffen was völlig undenkbar wäre. Artikel 18 - Recht auf Einschränkung der Verarbeitung (1) Die betroffene Person hat das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist: a) die Richtigkeit der personenbezogenen Daten von der betroffenen Person bestritten wird, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen, 6 D.h. unter Aufrechterhaltung der referentiellen Integrität, Vermeidung von orphaned backups, siehe folgende FN. 7 Für eine Einführung und Details zu diesem Thema siehe bspw. den Data Backup and Recovery User s Guide von Oracle Inc., (per ) 31. Januar 2017 Seite 55 von 117

56 b) die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung der personenbezogenen Daten ablehnt und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt; c) der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt, oder d) die betroffene Person Widerspruch gegen die Verarbeitung gemäß Artikel 21 Absatz 1 eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen. (2) Wurde die Verarbeitung gemäß Absatz 1 eingeschränkt, so dürfen diese personenbezogenen Daten von ihrer Speicherung abgesehen nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden. (3) Eine betroffene Person, die eine Einschränkung der Verarbeitung gemäß Absatz 1 erwirkt hat, wird von dem Verantwortlichen unterrichtet, bevor die Einschränkung aufgehoben wird. I. Erklärung der Rechtsnorm In Artikel 18 Abs. 1 wird festgelegt, unter welchen Umständen die betroffene Person das Recht hat, eine Einschränkung der Verarbeitung ihrer personenbezogenen Daten zu verlangen. Es muss einer oder mehrere der vier möglichen Gründe vorliegen. Diese Bestimmung entspricht i.w. der alten Bestimmung über die Sperrung von Daten, deren Richtigkeit bestritten wurde, im 20 BDSG bzw. den Landesdatenschutzgesetzen. II. Empfehlungen zur Umsetzung Da diese Bestimmung nicht neu ist, sollte die Umsetzung bereits gelöst sein. Artikel 19 - Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung Der Verantwortliche teilt allen Empfängern, denen personenbezogenen Daten offengelegt wurden, jede Berichtigung oder Löschung der personenbezogenen Daten oder eine Einschränkung der Verarbeitung nach Artikel 16, Artikel 17 Absatz 1 und Artikel 18 mit, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Der Verantwortliche unterrichtet die betroffene Person über diese Empfänger, wenn die betroffene Person dies verlangt. 31. Januar 2017 Seite 56 von 117

57 I. Erklärung der Rechtsnorm Nimmt jemand seine Rechte nach Art wahr, so müssen alle Empfänger dieser Daten darüber informiert werden, sofern dies technisch und organisatorisch sinnvoll möglich ist. II. Empfehlungen zur Umsetzung Sollten die Empfänger nicht bekannt und über gesicherte Kanäle erreichbar sein, wie bspw. die GEZ oder das Wehrkreisersatzkommando im Meldewesen, so wird die Erfüllung dieser Pflicht unmöglich oder mit unverhältnismäßig hohem Aufwand belastet sein, da Eine Information via einfacher selbst wiederum gegen Datenschutzvorschriften verstößt, Stichwort unverschlüsselt und für jedermann unterwegs einsehbar Die Empfänger z. B. bei sozialen Medien oder aber einfachen Internetseiten der Kommune nicht bekannt sein können. Artikel 20 - Recht auf Datenübertragbarkeit (1) Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern a) die Verarbeitung auf einer Einwilligung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a oder auf einem Vertrag gemäß Artikel 6 Absatz 1 Buchstabe b beruht und b) die Verarbeitung mithilfe automatisierter Verfahren erfolgt. (2) Bei der Ausübung ihres Rechts auf Datenübertragbarkeit gemäß Absatz 1 hat die betroffene Person das Recht, zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist. (3) Die Ausübung des Rechts nach Absatz 1 des vorliegenden Artikels lässt Artikel 17 unberührt. Dieses Recht gilt nicht für eine Verarbeitung, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. (4) Das Recht gemäß Absatz 2 darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. 31. Januar 2017 Seite 57 von 117

58 I. Erklärung der Rechtsnorm Wenn ein Bürger von einem für die Verarbeitung Verantwortlichen zu einem anderen wechselt, bspw. von einem Energieversorger zum anderen, hat er das Recht, diese Daten in einer strukturierten und maschinenlesbaren Form zu erhalten. Desweitern hat er das Recht diese Daten an andere weiter zu leiten. Außerdem darf er vom Verantwortlichen verlangen, dass dieser die Daten selbst an einen anderen Verantwortlichen weiter leitet soweit dies möglich ist. II. Empfehlungen zur Umsetzung Um dem Anspruch nach Abs. 2 nach kommen zu können und die Daten anderen zu übermitteln, wie auch empfangen zu können, ist es von Vorteil, sich bei der Art wie die Daten gespeichert werden an gültige Standards zu halten. Problematisch ist hierbei, dass der Verordnungsgeber nicht festgelegt hat, in welchen Formaten der Einsicht Begehrende ggf. bedient werden muss. Einige Branchen, wie z. B. die Finanzdienstleister bei Wertpapierdepots, haben hier bereits seit Jahrzehnten Standards entwickelt. Wie dem Erwägungsgrund 68 zu entnehmen ist, erhofft sich hier der Verordnungsgeber die Entwicklung von Standards. Im Meldewesen bspw. gibt es seit einigen Jahren diese Standards, namentlich XMeld. III. Interessante Fragen Die Frage, auf welche konkreten Formate der Betroffene Anspruch hat, wird wohl durch die Verwaltungspraxis und Rechtsprechung zu klären sein. Artikel 21 Widerspruchsrecht (1) Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstaben e oder f erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Der Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. (2) Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht. 31. Januar 2017 Seite 58 von 117

59 (3) Widerspricht die betroffene Person der Verarbeitung für Zwecke der Direktwerbung, so werden die personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet. (4) Die betroffene Person muss spätestens zum Zeitpunkt der ersten Kommunikation mit ihr ausdrücklich auf das in den Absätzen 1 und 2 genannte Recht hingewiesen werden; dieser Hinweis hat in einer verständlichen und von anderen Informationen getrennten Form zu erfolgen. (5) Im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft kann die betroffene Person ungeachtet der Richtlinie 2002/58/EG ihr Widerspruchsrecht mittels automatisierter Verfahren ausüben, bei denen technische Spezifikationen verwendet werden. (6) Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, gegen die sie betreffende Verarbeitung sie betreffender personenbezogener Daten, die zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken gemäß Artikel 89 Absatz 1 erfolgt, Widerspruch einzulegen, es sei denn, die Verarbeitung ist zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich. I. Erklärung der Rechtsnorm Artikel 21 gibt der Betroffenen Person das Recht, aus Gründen, die sich aus ihrer speziellen Situation ergeben, gegen die Verarbeitung ihrer Daten auf Grund von Artikel 6 Abs. 1 Buchstabe e) und f) Einspruch einzulegen. Der Verantwortliche muss in diesem Fall die Verarbeitung stoppen oder erklären können, warum das öffentliche Interesse an der Verarbeitung überwiegt. Werden Daten verarbeitet um Direktwerbung zu verbreiten, so hat der Betroffene jederzeit das Recht dagegen zu wiedersprechen. In diesem Fall dürfen die Daten für Direktwerbung nicht mehr verwendet werden. Wird mit der betroffenen Person erstmals kommuniziert, so hat diese auf die obenstehenden Rechte hingewiesen zu werden. Dies hat in verständlicher und gesonderter Form zu geschehen. II. Interessante Fragen Da Kommunen üblicherweise keine Direktwerbung betreiben und ihre Daten Dritten nur auf Grund gesetzlicher Ermächtigung zur Verfügung stellen, wird diese Bestimmung voraussichtlich von geringer praktischer Bedeutung für Kommunen sein. Artikel 22 - Automatisierte Entscheidungen im Einzelfall einschließlich Profiling (1) Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung einschließlich Profiling beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. 31. Januar 2017 Seite 59 von 117

60 (2) Absatz 1 gilt nicht, wenn die Entscheidung a) für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist, b) aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder c) mit ausdrücklicher Einwilligung der betroffenen Person erfolgt. (3) In den in Absatz 2 Buchstaben a und c genannten Fällen trifft der Verantwortliche angemessene Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört. (4) Entscheidungen nach Absatz 2 dürfen nicht auf besonderen Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 beruhen, sofern nicht Artikel 9 Absatz 2 Buchstabe a oder g gilt und angemessene Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person getroffen wurden. I. Erklärung der Rechtsnorm Grundsätzlich hat der Bürger das Recht nicht rechtlich bindenden Entscheidungen unterworfen zu werden, die rein automatisch erfolgen. Dieses Recht gilt jedoch nicht, wenn es für den Abschluss oder die Erfüllen eines Vertrags notwendig ist, es eine Vorschrift im Mitgliedsstaat gibt, die es erlaubt oder der Bürger selbst zugestimmt hat. II. Empfehlungen zur Umsetzung In der Realität stellt auch die Einfahrt in eine städtische Tiefgarage, wenn sich die Schranke nach Einführen der Kredit- oder EC-Karte öffnet, eine automatisierte Entscheidung i.s. dieses Artikels dar. Aus diesem Grund empfehlen wir, alle automatisierten Entscheidungen zu erheben und zu prüfen, ob in jedem Fall eine hinreichende Rechtsgrundlage besteht, die den Bedingungen, unter denen automatisierte Entscheidungen möglich sind, genügt. Im Falle der Parkgarage gilt wohl Abs. 2 Z. 1 dieses Artikels, da ein Vertrag geschlossen wird. Artikel 23 Beschränkungen (1) Durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche oder der Auftragsverarbeiter unterliegt, können die Pflichten und Rechte gemäß den Artikeln 12 bis 22 und Artikel 34 sowie Artikel 5, insofern dessen Bestimmungen den in den Artikeln 12 bis 22 vorgesehenen Rechten und Pflichten entsprechen, im Wege von Gesetzgebungsmaßnahmen beschränkt werden, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen 31. Januar 2017 Seite 60 von 117

61 Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt, die Folgendes sicherstellt: a) die nationale Sicherheit; b) die Landesverteidigung; c) die öffentliche Sicherheit; d) die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit; e) den Schutz sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats, insbesondere eines wichtigen wirtschaftlichen oder finanziellen Interesses der Union oder eines Mitgliedstaats, etwa im Währungs-, Haushalts- und Steuerbereich sowie im Bereich der öffentlichen Gesundheit und der sozialen Sicherheit; f) den Schutz der Unabhängigkeit der Justiz und den Schutz von Gerichtsverfahren; g) die Verhütung, Aufdeckung, Ermittlung und Verfolgung von Verstößen gegen die berufsständischen Regeln reglementierter Berufe; h) Kontroll-, Überwachungs- und Ordnungsfunktionen, die dauernd oder zeitweise mit der Ausübung öffentlicher Gewalt für die unter den Buchstaben a bis e und g genannten Zwecke verbunden sind; i) den Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen; j) die Durchsetzung zivilrechtlicher Ansprüche. (2) Jede Gesetzgebungsmaßnahme im Sinne des Absatzes 1 muss insbesondere gegebenenfalls spezifische Vorschriften enthalten zumindest in Bezug auf a) die Zwecke der Verarbeitung oder die Verarbeitungskategorien, b) die Kategorien personenbezogener Daten, c) den Umfang der vorgenommenen Beschränkungen, d) die Garantien gegen Missbrauch oder unrechtmäßigen Zugang oder unrechtmäßige Übermittlung; e) die Angaben zu dem Verantwortlichen oder den Kategorien von Verantwortlichen, f) die jeweiligen Speicherfristen sowie die geltenden Garantien unter Berücksichtigung von Art, Umfang und Zwecken der Verarbeitung oder der Verarbeitungskategorien, g) die Risiken für die Rechte und Freiheiten der betroffenen Personen und h) das Recht der betroffenen Personen auf Unterrichtung über die Beschränkung, sofern dies nicht dem Zweck der Beschränkung abträglich ist. I. Erklärung der Rechtsnorm Artikel 23 legt fest, dass die Artikel 5, und 34 durch Rechtsvorschrift beschränkt werden können, wenn eines der hier aufgeführten Themen betroffen ist. In Absatz 2 wird festgelegt, dass in einer solchen Rechtsvorschrift alles in Bezug auf Daten äußerst detailliert geregelt werden muss. 31. Januar 2017 Seite 61 von 117

62 II. Empfehlungen zur Umsetzung Es ist abzuwarten, inwieweit der Bundes- bzw. Landesgesetzgeber von diesem Recht Gebrauch macht. Artikel 77 - Recht auf Beschwerde bei einer Aufsichtsbehörde (1) Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt. (2) Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Artikel 78. I. Erklärung der Rechtsnorm Artikel 77 stellt den Betroffenen das Recht zur Verfügung, bei Vorliegen eines Verstoßes gegen die Vorgaben der EU-DSGVO bei der Behandlung ihrer personenbezogenen Daten Beschwerde bei einer Aufsichtsbehörde einzulegen - dies jedoch nicht nur in dem Mitgliedsstaat, in welchem sich die betroffene Person aufhält, sondern insbesondere dort. Dies impliziert die Möglichkeit zur Einlegung einer Beschwerde auch an anderen Orten als an den vorgesehenen Behörden innerhalb des Aufenthaltslandes. Ein tatsächlicher Verstoß gegen die Vorschriften der EU-DSGVO muss nicht gegeben sein, für eine Beschwerde reicht lediglich die Annahme des Betroffenen, dass ein Verstoß vorliegen könnte ( wenn die betroffene Person der Ansicht ist ). Bedeutend ist hier die Textpassage unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs, denn das senkt natürlich die Schwelle für den Beschwerdeführer erheblich. II. Empfehlungen zur Umsetzung Diese Bestimmung stellt an sich keine Neuerung dar. Die Neuerung besteht nur darin, dass die Aufsichtsbehörden schlagkräftiger sind als die bisherigen, vergleichsweise mit bescheidenem Instrumentarium ausgestatteten Landes- bzw. Bundesdatenschutzbeauftragten. 31. Januar 2017 Seite 62 von 117

63 III. Interessante Fragen Die bisherigen Landesdatenschutzbeauftragten bzw. deren Stellen werden unserer Einschätzung nach Vermehrt international tätig sein (müssen), da Anfragen auch international vermehrt zu erwarten sind Vermehrten Arbeitsanfall haben - wenigstens in den ersten Jahren nach Inkrafttreten International in Abstimmung mit anderen Aufsichtsbehörden anderer Mitgliedsstaaten agieren müssen. Wie sich das konkret gestaltet, lässt sich per heute nicht seriös vorhersagen. Artikel 82 - Haftung und Recht auf Schadenersatz (1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. (2) Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat. (3) Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. (4) Ist mehr als ein Verantwortlicher oder mehr als ein Auftragsverarbeiter bzw. sowohl ein Verantwortlicher als auch ein Auftragsverarbeiter an derselben Verarbeitung beteiligt und sind sie gemäß den Absätzen 2 und 3 für einen durch die Verarbeitung verursachten Schaden verantwortlich, so haftet jeder Verantwortliche oder jeder Auftragsverarbeiter für den gesamten Schaden, damit ein wirksamer Schadensersatz für die betroffene Person sichergestellt ist. (5) Hat ein Verantwortlicher oder Auftragsverarbeiter gemäß Absatz 4 vollständigen Schadenersatz für den erlittenen Schaden gezahlt, so ist dieser Verantwortliche oder Auftragsverarbeiter berechtigt, von den übrigen an derselben Verarbeitung beteiligten für die Datenverarbeitung Verantwortlichen oder Auftragsverarbeitern den Teil des Schadenersatzes zurückzufordern, der unter den in Absatz 2 festgelegten Bedingungen ihrem Anteil an der Verantwortung für den Schaden entspricht. (6) Mit Gerichtsverfahren zur Inanspruchnahme des Rechts auf Schadenersatz sind die Gerichte zu befassen, die nach den in Artikel 79 Absatz 2 genannten Rechtsvorschriften des Mitgliedstaats zuständig sind. 31. Januar 2017 Seite 63 von 117

64 I. Erklärung der Rechtsnorm Über das Recht auf Beschwerde hinaus ermöglicht Artikel 82 der EU-DSGVO aufgrund von Verstößen, auch durch Behörden, Schadensersatz zu verlangen - egal ob bei materiellen oder immateriellen Schäden. Betroffen sind hierbei nach Absatz 2 auch alle an der Verarbeitung der Daten beteiligten, verantwortlichen Personen, die dann für die Schäden haften. Lediglich bei Darlegung, dass ein Verantwortlicher in keinster Weise für den Schaden verantwortlich ist, ist eine Befreiung von der Haftung möglich. Dies ist in Teilen eine Beweislastumkehr. Auch die Aufteilung bzw. Nachforderung von Schadenersatz bei anderen Verantwortlichen oder Auftragsverarbeitern ist möglich, weswegen sich hierbei schnell ein Netz an Schadensersatzansprüchen unter den Beteiligten entwickeln kann, welches - je nach Höhe des Schadens - zu entsprechenden Geldsummen führen kann. II. Empfehlungen zur Umsetzung Da eine Versicherung wohl für Kommunen nicht in Frage kommt, bleibt abzuwarten, wie sich die neue Rechtsprechung hierzu entwickelt. Jedenfalls sollte diese Bestimmung, im Zusammenhalt mit der vorher in Artikel 77 besprochenen, dazu führen, dass das Datenschutzthema künftig mit mehr Ressourceneinsatz und Managementkapazität betrieben wird auch in Kommunen. III. Interessante Fragen Derartige Schadensersatzleistungen lassen sich im Vorhinein nicht vorsehen und quantifizieren, im Haushalt werden sie dann nach dem Bruttoprinzip verbucht. Keine Kommune ist bislang für derartige Rechtsstreitigkeiten gerüstet es bleibt abzuwarten, wie sich die Rechtsprechung hierzu entwickelt. 31. Januar 2017 Seite 64 von 117

65 Abschnitt 3: Pflichten der Verantwortlichen und Auftragsverarbeiter Pflichten der Verantwortlichen auf einen Blick Art. Bezeichnung der Pflicht 24 Sicherstellung für die Einhaltung der Verordnung 25 Datenschutz durch Technik, datenschutzfreundliche Voreinstellungen 28 Korrekte Vertragsgestaltung mit den Auftragsverarbeitern Beispiele Mitarbeiterschulungen, interne Richtlinien, Risikoanalyse (Beispiel siehe Anlage 1), weitere Maßnahmen Beispiel siehe Anlage 2 30 Führung eines Verfahrensverzeichnisses Beispiel siehe Anlage 3 31 Zusammenarbeit mit der Aufsichtsbehörde 32 Gewährleistung des Schutzes der personenbezogenen Daten Versenden der Verzeichnisse technische Maßnahmen, Datenverschlüsselung, regelmäßige Backups, weitere Maßnahmen 33 Meldung von Datenschutzverletzungen Dokumentation von Datenschutzberechtigungen 34 Benachrichtigung der von Datenschutzverletzungen betroffenen Personen Amtsblatt, Zeitung, Anrufe, Schreiben 35 Datenschutzfolgenabschätzung Bei Erstellung eines "Online- Bürgerportals" oder einer "StadtApp" 37 Benennung eines Datenschutzbeauftragten 31. Januar 2017 Seite 65 von 117

66 Art Verantwortung des für die Verarbeitung Verantwortlichen (1) Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert. (2) Sofern dies in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten steht, müssen die Maßnahmen gemäß Absatz 1 die Anwendung geeigneter Datenschutzvorkehrungen durch den Verantwortlichen umfassen. (3) Die Einhaltung der genehmigten Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Gesichtspunkt herangezogen werden, um die Erfüllung der Pflichten des Verantwortlichen nachzuweisen. I. Erklärung der Rechtsnorm Art. 24 EU-DSGVO legt als Generalklausel für die Verantwortlichen fest, dass alle notwendigen organisatorischen und technischen Maßnahmen getroffen werden müssen, damit die Rechte und Freiheiten der natürlichen Personen (v.a. Recht auf Datenschutz Art. 8 EGRC 8 und Recht auf informationelle Selbstbestimmung Art. 1 i.v.m. Art. 2 GG) geschützt werden. Durch diese Norm sind nun die Verwaltungschefs, Bürgermeister, Landräte, usw. unmittelbar verpflichtet die Datenschutzgrundverordnung einzuhalten und haften nun direkt für etwaige Verstöße. àkurz gesagt: Datenschutz wird zur Chefsache Die Verantwortlichen müssen in ihrer Organisation daher ein Datenschutzmanagement einrichten, das alle erforderlichen Datenschutzmaßnahmen umfasst. Das eingeführte und umgesetzte Datenschutzmanagement soll nach Art. 24 Abs. 1 EU-DSGVO als Nachweis dienen, dass die Vorschriften der Datenschutzgrundverordnung eingehalten werden. Als weitere Nachweise können nach Art. 24 Abs. 3 EU-DSGVO die von der Aufsichtsbehörde genehmigten Verhaltensregeln und Zertifizierungsverfahren gem. Art. 40 und 42 EU-DSGVO zusätzlich herangezogen werden (diese gibt es bisher noch nicht). Die Kontrolle der Datenschutzmaßnahmen von den Aufsichtsbehörden sind nach Art. 24 Abs. 1 Satz 2 EU- DSGVO ausdrücklich vorgesehen. Durch den Art. 24 EU-DSGVO wird des Weiteren klargestellt, dass der Verantwortliche für all seine Verarbeitungstätigkeiten haftet und er bei der Umsetzung der Datenschutzmaßnahmen "die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung und das Risiko für die Rechte und Freiheiten natürlicher Personen berücksichtigt" (Erwägungsgrund 74). Ein wichtiges Element für die Einführung des Datenschutzmanagements, ist die Ermittlung des 8 Charta der Grundrechte der Europäischen Union, 2010/C 83/02 vom Januar 2017 Seite 66 von 117

67 Risikos für jede Datenverarbeitung und die Eintrittswahrscheinlichkeit, dass eine Verletzung der Rechte und Freiheiten der betroffenen Personen eintritt. Jede Behörde muss daher eine Risikoanalyse durchführen. Sie kann einfach in einer Excel- Tabelle dargestellt werden. Als Anhaltspunkte, welche Gefahren auftreten könnten, kann im BSI-Grundschutzkatalog nachgeschlagen werden, der im Internet frei zur Verfügung steht. Die Maßnahmen, die getroffen werden können, sind auch dort aufgelistet. hutzkataloge_node.html II. Empfehlung zur Umsetzung Art. 24 Abs. 1 EU-DSGVO enthält eine Art Pflichtenkatalog, aus dem sich folgende Maßnahmen ableiten lassen können: 1. Organisatorische Maßnahmen: Interne Datenschutzvorschriften, Internetnutzungsrichtlinien, Richtlinien zur Nutzung von privaten mobilen Endgeräten Analyse aller Verwaltungsprozesse, in denen personenbezogene Daten (pbd) verarbeitet werden und Anpassung der Prozesse, damit die pbd geschützt werden Ausformulierung und Visualisierung von Verwaltungsprozessen Kenntlichmachung von Verarbeitungstätigkeiten Analyse des Risikos eines Ereignisses, das einen Verstoß gegen die VO darstellt Mitarbeiterschulungen, Sensibilisierungsveranstaltungen datenschutzgerechte Entsorgung 2. Bauliche Maßnahmen Sicherung datenverarbeitender Anlagen Zugangskontrollen zu Gebäuden 3. Technische Maßnahmen Verschlüsselung der Daten Regelmäßige Datensicherung Pseudonymisierung Datenminimierung (nur die notwendigen Daten speichern und nach der Speicherfrist löschen) Die Maßnahmen dieser Aufzählung sind nur Beispiele, um der o.g. Pflicht gerecht zu werden. Hinweise zur Erstellung einer Datenschutz-Risikoanalyse: 31. Januar 2017 Seite 67 von 117

68 Die Risikoanalyse muss in jeder Verwaltung separat erstellt und sollte von allen Entscheidungsträgern durchgesprochen werden. Etwaige Richtlinien für die Risikoanalyse nach der EU-DSGVO gibt es bisher noch nicht, daher ist es zu Beginn schwierig, selbst eine zu erstellen. Zu Beginn sollten alle möglichen Gefahrenquellen für die Verwaltung ermittelt und grob eingeschätzt werden, wie hoch die Eintrittswahrscheinlichkeit und das Gefährdungspotenzial ist. Wie oben bereits erwähnt kann der Grundschutzkatalog des BSI für die Gefahrenermittlung und Maßnahmenplanung hinzugezogen werden. Wenn der grobe Entwurf fertig ist, sollte die Risikoanalyse mit anderen Führungskräften oder Funktionsträgern durchgesprochen werden, da die verschiedenen Einschätzungen zu möglichen Gefahren meistens subjektiv erfolgen und verschiedene Ansichten möglich sind. Dadurch wird die Risikoanalyse präziser. Zum Abschluss muss noch die Verwaltungsleitung hinzugezogen werden, da diese für falsche oder grobfahrlässige falsche Einschätzungen haftet! In der Anlage befindet sich ein Beispiel, wie eine Risikoanalyse aussehen könnte (Anlage1). I. Interessante Fragen 1. Bis wann sollte ich ein Datenschutzmanagement einrichten? Da die Bestimmungen der EU-DSGVO zum ihre volle Wirkung entfalten, sollten spätestens bis zu diesem Datum die technischen und organisatorischen Maßnahmen umgesetzt werden. 2. Was sind technische und organisatorische Maßnahmen (sog. TOM's)? Der Begriff ist zunächst ein unbestimmter Rechtsbegriff, der der Auslegung bedarf. Die TOMs umfassen alle Maßnahmen, die erforderlich sind, um die Einhaltung und Umsetzung der Vorschriften EU-DSGVO sicherzustellen. Beispiele finden sich eine Seite zuvor oder in den Grundschutzkatalogen des BSI. Der Begriff wird in der EU-DSGVO in mehreren Kapiteln und Artikeln verwendet und ist jedes Mal in Bezug auf die spezifische Vorschrift zu verstehen. 3. Gibt es Richtlinien oder Vorgaben für die technischen und organisatorischen Maßnahmen? Rechtliche Vorschriften über die genaueren Maßnahmen gibt es keine. Für die Bestimmung, welche technischen und organisatorischen Maßnahmen Sie umsetzen müssen und in welchem Ausmaß, müssen Sie die durchgeführte Risikoanalyse betrachten, die Sie mit 31. Januar 2017 Seite 68 von 117

69 Ihrem Entscheidungsgremium gemeinsam erarbeitet haben. Sie können aber für allgemeine Informationen und Handlungsempfehlungen in den Grundschutzkatalogen des Bundesamtes für Informationssicherheit nachschlagen. Art Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen wie z. B. Pseudonymisierung trifft, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen. (2) Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden. (3) Ein genehmigtes Zertifizierungsverfahren gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in den Absätzen 1 und 2 des vorliegenden Artikels genannten Anforderungen nachzuweisen. I. Erklärung der Rechtsnorm In Art. 25 ist vorgeschrieben, dass der Verantwortliche alle erforderlichen Maßnahmen treffen muss, damit die Daten der betroffenen Personen geschützt werden. Diese Vorschrift geht aber einen Schritt weiter. Sie gibt präzisere Vorgaben, wie der Datenschutz umgesetzt werden soll. Wichtige Schlagworte hierfür sind, "Datenschutz durch Technik" (data protection by design) und "datenschutzfreundliche Voreinstellungen" (data protection by default). Datenschutz durch Technik bedeutet, dass schon bei der Entstehung und Konzeptionierung neuer Prozesse und Technik und während der gesamten Zeit der Verarbeitung der Datenschutz berücksichtigt wird. Diese Verpflichtung ist eher eine Erweiterung zu Art. 24 und lehnt sich an diesen an. Aus dem Grundsatz Datenschutz "by design" lassen sich z. B. Maßnahmen wie die Verschlüsselung von Daten, Zutrittskontrollen zu den Geschäftsräumen oder die Sperrung von USB-Ports, etc. ableiten (einzelne Beispiele für Maßnahmen sind im Katalog des KDRS abgebildet). 31. Januar 2017 Seite 69 von 117

70 Für die Umsetzung der Maßnahmen müssen nach Art. 25 Abs. 1 folgende Punkte beachtet werden: Stand der Technik die Implementierungskosten die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung (welche sich durch ein Verfahrensverzeichnis abbilden lassen) die Eintrittswahrscheinlichkeit und Schwere von etwaigen Gefahren und Verletzungen (siehe Risikoanalyse) Die Verordnung legt ihren Schwerpunkt hierbei auf die Datenschutzgrundsätze nach Art. 5 EU-DSGVO. Datenschutz durch Technik soll demnach überwiegend dafür eingesetzt werden, um die Grundsätze wie Datenminimierung, Speicherbegrenzung, Zweckbindung, etc. effektiv umzusetzen. Datenschutzfreundliche Voreinstellungen bedeutet, dass die IT-Systeme bereits so eingestellt sind, dass der Schutz der personenbezogenen Daten maximal geschützt ist, ohne dass der Anwender weitere Einstellungen vornehmen muss. Für die Städte und Gemeinden ist diese Regelung weniger praxisrelevant, da hauptsächlich die IT-Anbieter und Softwarehersteller davon betroffen sind. Wenn eine Gemeinde eine Online-Funktion für ihre Bürger zur Verfügung stellt, mit der personenbezogene Daten verarbeitet werden, dann müsste diese selbstverständlich diesen Grundsatz beachten. Die Kommunen sollten anhand dieser Regelung auch darauf achten, dass sie IT-Software kaufen, die diesem Grundsatz entspricht, und falls nicht, dementsprechend anpassen. Für die öffentliche Verwaltung sind die Grundsätze des Art. 25 EU-DSGVO nur begrenzt anwendbar, da sie keine IT-Programme anbieten. Es könnte jedoch interessant werden, wenn Städte und Gemeinden E-Government Angebote für die Bürgerinnen und Bürger zur Verfügung stellen, in denen personenbezogene Daten verarbeitet werden. II. Empfehlung zur Umsetzung Die genannten Maßnahmen aus Art. 24 EU-DSGVO sollten nach den Grundsätzen "Datenschutz durch Technik" und "datenschutzfreundliche Voreinstellungen" erfolgen. Achten Sie bei der Umsetzung der Grundsätze auf folgende Punkte: Teile der technischen und organisatorischen Maßnahmen aus Art. 24 können übernommen werden. (Wie z.b. die Verschlüsselung der Daten) Es sollte nur IT-Software angeschafft werden, die diese Grundsätze beachtet oder bei der der Hersteller bescheinigt, dass diese Grundsätze beachtet werden 9. Stellen Sie dem Dienstleister bzw. dem Softwarelieferanten kritische Fragen und dokumentieren Sie diese samt den erhaltenen Antworten. 9 Eine echte Überprüfung kann nur anhand des Quellcodes erfolgen, der üblicherweise nicht gegenüber dem Kunden offengelegt wird. 31. Januar 2017 Seite 70 von 117

71 Wenn Sie alte Software und Systeme, d.h. aus der Zeit vor der EU-DSGVO verwenden, stellen Sie im Minimum dem Dienstleister bzw. Hersteller die Frage, inwieweit das System bzw. die Software diesen neuen gesetzlichen Anforderungen genügt. Wenn Sie Spezifikationen für Softwareerstellung oder Vergabeunterlagen für Software bzw. Datenverarbeitungssysteme erstellen, beachten Sie unbedingt dass diese EU- DSGVO-konform sein müssen. Art Gemeinsam für die Verarbeitung Verantwortliche (1) Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind. In der Vereinbarung kann eine Anlaufstelle für die betroffenen Personen angegeben werden. (2) Die Vereinbarung gemäß Absatz 1 muss die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln. Das wesentliche der Vereinbarung wird der betroffenen Person zur Verfügung gestellt. (3) Ungeachtet der Einzelheiten der Vereinbarung gemäß Absatz 1 kann die betroffene Person ihre Rechte im Rahmen dieser Verordnung bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen. I. Erklärung der Rechtsnorm Durch diese Vorschrift wird den Städten und Gemeinden die Möglichkeit gegeben, die Datenverarbeitung zusammenzulegen. Die beiden Verantwortlichen tragen weiterhin die volle Verantwortung für die Datenverarbeitung. Betroffene Personen können durch diese Regelung ihre Rechte gegenüber allen Verantwortlichen geltend machen. Die Verantwortlichen sollten für die Bürger eine gemeinsame Anlaufstelle schaffen, damit die betroffenen Personen ihre Rechte einfacher in Anspruch nehmen können. Die Verantwortlichen müssen die verschiedenen Verarbeitungstätigkeiten, Zwecke und Zuständigkeiten durch einen transparenten Vertrag festlegen. II. Erklärung der Rechtsnorm Beispiele für eine gemeinsame Datenverarbeitung in der öffentlichen Verwaltung sind die Gemeindeverwaltungsverbände und die vereinbarten Verwaltungsgemeinschaften. Bei einem Gemeindeverwaltungsverband muss demnach in seiner Gründungssatzung die Aufgabenverteilung geregelt werden und in diesem Zusammenhang welche Behörde für die 31. Januar 2017 Seite 71 von 117

72 jeweilige Datenverarbeitung zuständig ist. Das gleiche gilt für die vereinbarten Verwaltungsgemeinschaften. Die Verträge müssen nach Art. 26 EU-DSGVO in transparenter Form erfolgen. Das bedeutet, dass die Gründungssatzung zum Beispiel öffentlich in einer Gemeinderatssitzung beschlossen oder verhandelt werden muss oder dass die Dokumente öffentlich im Internet zur Verfügung stehen. Wichtig bei der Umsetzung ist, dass die Vorschriften des GKZ beachtet werden müssen. Art Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern (1) In den Fällen gemäß Artikel 3 Absatz 2 benennt der Verantwortliche oder der Auftragsverarbeiter schriftlich einen Vertreter in der Union. (2) Die Pflicht gemäß Absatz 1 des vorliegenden Artikels gilt nicht für a) eine Verarbeitung, die gelegentlich erfolgt, nicht die umfangreiche Verarbeitung besonderer Datenkategorien im Sinne des Artikels 9 Absatz 1 oder die umfangreiche Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 einschließt und unter Berücksichtigung der Art, der Umstände, des Umfangs und der Zwecke der Verarbeitung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, oder b) Behörden oder öffentliche Stellen. (3) Der Vertreter muss in einem der Mitgliedstaaten niedergelassen sein, in denen die betroffenen Personen, deren personenbezogene Daten im Zusammenhang mit den ihnen angebotenen Waren oder Dienstleistungen verarbeitet werden oder deren Verhalten beobachtet wird, sich befinden. (4) Der Vertreter wird durch den Verantwortlichen oder den Auftragsverarbeiter beauftragt, zusätzlich zu diesem oder an seiner Stelle insbesondere für Aufsichtsbehörden und betroffene Personen bei sämtlichen Fragen im Zusammenhang mit der Verarbeitung zur Gewährleistung der Einhaltung dieser Verordnung als Anlaufstelle zu dienen. (5) Die Benennung eines Vertreters durch den Verantwortlichen oder den Auftragsverarbeiter erfolgt unbeschadet etwaiger rechtlicher Schritte gegen den Verantwortlichen oder den Auftragsverarbeiter selbst. I. Erklärung der Rechtsnorm Gem. Art. 27 Abs. 2 lit. b EU-DSGVO gilt diese Pflicht nicht für Behörden und öffentliche Stellen. 31. Januar 2017 Seite 72 von 117

73 Die Regelung gilt für Fälle, sofern Unternehmen in Drittstaaten ihre Hauptniederlassung haben und weitere Niederlassungen in der EU vorhanden sind, in der personenbezogene Daten von EU-Bürgern verarbeitet werden. Diese Bestimmung ist somit für Kommunen irrelevant, sofern die Kommune keine Dienstleister (Auftragsverarbeiter) in Anspruch nimmt, die keinen Sitz in der Europäischen Union haben, bspw. soziale Medien wie yandex.ru oder Plattformen wie auto.ru. Art. 28 Auftragsverarbeiter (1) Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. (2) Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch. Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftragsverarbeiter den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben. (3) Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter a) die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation verarbeitet, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet; b) gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen; c) alle gemäß Artikel 32 erforderlichen Maßnahmen ergreift; 31. Januar 2017 Seite 73 von 117

74 d) die in den Absätzen 2 und 4 genannten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält; e) angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III genannten Rechte der betroffenen Person nachzukommen; f) unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten unterstützt; g) nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht; h) dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen einschließlich Inspektionen, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt. Mit Blick auf Unterabsatz 1 Buchstabe h informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen diese Verordnung oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt. (4) Nimmt der Auftragsverarbeiter die Dienste eines weiteren Auftragsverarbeiters in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Verantwortlichen auszuführen, so werden diesem weiteren Auftragsverarbeiter im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats dieselben Datenschutzpflichten auferlegt, die in dem Vertrag oder anderen Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemäß Absatz 3 festgelegt sind, wobei insbesondere hinreichende Garantien dafür geboten werden muss, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen dieser Verordnung erfolgt. Kommt der weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der erste Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters. (5) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 durch einen Auftragsverarbeiter kann als Faktor herangezogen werden, um hinreichende Garantien im Sinne der Absätze 1 und 4 des vorliegenden Artikels nachzuweisen. (6) Unbeschadet eines individuellen Vertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter kann der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 des vorliegenden Artikels ganz oder teilweise auf den in den Absätzen 7 und 8 des vorliegenden Artikels genannten Standardvertragsklauseln beruhen, auch wenn diese Bestandteil einer dem Verantwortlichen oder dem Auftragsverarbeiter gemäß den Artikeln 42 und 43 erteilten Zertifizierung sind. 31. Januar 2017 Seite 74 von 117

75 (7) Die Kommission kann im Einklang mit dem Prüfverfahren gemäß Artikel 87 Absatz 2 Standardvertragsklauseln zur Regelung der in den Absätzen 3 und 4 des vorliegenden Artikels genannten Fragen festlegen. (8) Eine Aufsichtsbehörde kann im Einklang mit dem Kohärenzverfahren gemäß Artikel 63 Standardvertragsklauseln zur Regelung der in den Absätzen 3 und 4 des vorliegenden Artikels genannten Fragen festlegen. (9) Der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann. (10) Unbeschadet der Artikel 82, 83 und 84 gilt ein Auftragsverarbeiter, der unter Verstoß gegen diese Verordnung die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf diese Verarbeitung als Verantwortlicher. I. Erklärung der Rechtsnorm Art. 28 EU-DSGVO regelt die Pflichten der Auftragsverarbeiter und gibt Auskunft über die wichtigsten Inhalte der Verträge zwischen den Verantwortlichen und den Auftragsverarbeitern. Abs. 1 sagt aus, dass die Verantwortlichen nur mit Auftragsverarbeitern zusammenarbeiten dürfen, die gewährleisten können, dass sie nach den Regelungen der Datenschutzgrundverordnung agieren. Im Zusammenhang hierzu steht der Abs. 3, der die genaueren Vertragsinhalte regelt. Des Weiteren ergibt sich aus Art. 28 Abs. 1, dass die Verantwortlichen bei der Auswahl ihres Auftragsverarbeiters zukünftig auf folgende Kriterien achten müssen: Fachwissen Zuverlässigkeit Ressourcen Abs. 2 gibt Auskunft darüber, wann der Auftragsverarbeiter Unterauftragsverhältnisse abschließen darf. Abs. 4 erläutert kurz die Inhalte des Unterauftragsverhältnisses. II. Empfehlung zur Umsetzung Die Auftragsverarbeiter sind für die Städte und Gemeinden hauptsächlich die kommunalen Datenverarbeitungsverbünde bzw. Rechenzentren, Datenzentralen und sonstige IT- Dienstleister. Eckpunkte der Vertragsgestaltung (Art. 28 Abs. 3 EU-DSGVO): Satz 1: Gegenstand und Dauer der Verarbeitung Art und Zweck der Verarbeitung die Art der personenbezogenen Daten 31. Januar 2017 Seite 75 von 117

76 die Kategorien von betroffenen Personen Rechte und Pflichten des Verantwortlichen Des Weiteren: Verarbeitung von personenbezogenen Daten erfolgt nur auf dokumentierte Weisung des Verantwortlichen (lit. a) Der Auftragsverarbeiter verpflichtet sich zur Vertraulichkeit und zur gesetzlichen Verschwiegenheitspflicht (lit.b) Der Auftragsverarbeiter muss alle technischen und organisatorischen Maßnahmen nach Art. 32 EU-DSGVO zur Sicherheit der Datenverarbeitung durchführen (lit.c) Einhaltung der Bedingungen für die Vergabe von Unteraufträgen (lit.d) Unterstützung des Verantwortlichen zur Beantwortung von Anträgen im Rahmen der Rechte der Betroffenen (lit.e) Unterstützung des Verantwortlichen bei der Einhaltung der Pflichten nach den Art EU-DSGVO (lit. f) Regelungen zur Rückgabe und Löschung der Daten (lit.g) Die Erbringung von Nachweisen zur Einhaltung seiner Pflichten gegenüber dem Verantwortlichen (lit.h) Die Meldung von Datenschutzverstößen an den Verantwortlichen Es gibt keine großen Änderungen zum alten Datenschutzrecht. Die Musterverträge nach 7 LDSG von KDRS wurden damals mit dem baden-württembergischen Innenministerium abgestimmt. Prinzipiell müssten die Städte und Gemeinden ihre aktuellen Verträge auf die Übereinstimmung mit dem Datenschutzrecht überprüfen. Da es nicht effizient ist, wenn sämtliche Gemeinden und Landkreise dies einzeln erledigen, empfiehlt sich hier auf eine entsprechende konzertierte Aktion des Datenverarbeitungsverbundes Baden-Württemberg zu warten. Eine Änderung, die sich für die Vertragsgestaltung ergeben hat, ist das Unterauftragsverhältnis von Auftragsverarbeitern. Hier kann jeder Verantwortliche den einzelnen Unteraufträgen seines Dienstleisters widersprechen Diese relativ praxisfremde Regelung ist separat mit dem jeweiligen Auftragsverarbeiter zu erörtern und zu verhandeln die daraus ggf. entstehenden Mehrkosten sind vom Widersprechenden zu tragen. Im Anhang befindet sich ein Mustervertrag vom KDRS (Anhang 2). III. Interessante Fragen 1. Was ist eine dokumentierte Weisung? In diesem Sinne ist gemeint, dass der Auftragsverarbeiter nur diejenigen Daten verarbeiten darf, zu denen er im Vertrag mit dem Verantwortlichen berechtigt wurde. Sofern der Verantwortliche möchte, dass sein Auftragsverarbeiter weitere Verfahren betreut bzw. 31. Januar 2017 Seite 76 von 117

77 Verarbeitungstätigkeiten durchführt, muss eine explizite weitere Vereinbarung hierüber getroffen werden. 2. Müssen alle derzeitigen Verträge mit Auftragsverarbeitern neu verhandelt bzw. neu erstellt werden? Da sich nur wenige Änderungen für die Vertragsgestaltung ergeben, ist dies höchstwahrscheinlich nicht der Fall. Es sollte aber trotzdem sichergestellt werden, ob die oben genannten Kriterien eingehalten werden. 31. Januar 2017 Seite 77 von 117

78 Art Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters Der Auftragsverarbeiter und jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten, es sei denn, dass sie nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet sind. I. Erklärung der Rechtsnorm Diese Norm regelt kurz, dass der Auftragsverarbeiter nur auf direkte Anordnung und Weisung des Verantwortlichen die Datenverarbeitung vornehmen darf. Dies erfolgt nach Art. 28 EU-DSGVO über einen Vertrag. Durch diese Regelung trifft die Haftung der EU-DSGVO vorrangig den Verantwortlichen. Der Auftragsverarbeiter haftet dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat (vgl. Art. 82 Abs. 2 Satz 2). Die Übersetzung der Überschrift ist etwas unglücklich, da die Verantwortlichen kein Recht auf "Aufsicht" im engeren Sinn haben. Das englische Original spricht von Processing under the authority of the controller or processor, d.h. unter der Ägide bzw. Verantwortung des für die Verarbeitung Verantwortlichen bzw. seines Auftragsverarbeiters. II. Empfehlung zur Umsetzung Da der Zweck und nähere Details der Datenverarbeitung durch den Vertrag vereinbart wurden, bedarf es in der Praxis normalerweise keiner weiteren Weisungen. Im Einzelfall kann der Verantwortliche aber weitere Weisungen erteilen: Umfang des Weisungsrechts: 1. Allgemeines Weisungsrecht: Der Auftragsverarbeiter muss den Weisungen des Verantwortlichen immer entsprechen. Sollte der Verantwortliche etwas verlangen, das rechtswidrig wäre, muss der Auftragsverarbeiter auf die Rechtswidrigkeit hinweisen. Letzten Endes entscheidet aber der Verantwortliche darüber, da die Haftung bei ihm bleibt. 2. Einzelweisungen des Verantwortlichen: Einzelweisungen können dem Auftragsverarbeiter erteilt werden, die auch außerhalb des Vertrags erfolgen. Möglicherweise könnten dabei zusätzliche Gebühren anfallen. 3. Einsprüche zu Unterauftragsverhältnissen: Durch die neue Regelung des Art. 28 Abs. 2 EU-DSGVO können die Auftragsverarbeiter nicht ohne weiteres ein Unterauftragsverhältnis abschließen. Als Bedingung muss der Verantwortliche diesem Unterauftragsverhältnis zustimmen und kann auch gegebenenfalls Einspruch einlegen. 31. Januar 2017 Seite 78 von 117

79 Praktisch gesehen, ändert sich zum alten Datenschutzrecht nur, dass der Verantwortliche nun Unterauftragsverhältnissen widersprechen darf. Zu genaueren Fragen können Sie direkt Ihren Auftragsverarbeiter zum Weisungsrecht befragen. Art Verzeichnis von Verarbeitungstätigkeiten (1) Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben: a) den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten; b) die Zwecke der Verarbeitung; c) eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten; d) die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen; e) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien; f) wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien; g) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1. (2) Jeder Auftragsverarbeiter und gegebenenfalls sein Vertreter führen ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung, die Folgendes enthält: a) den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten; b) die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden; c) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien; 31. Januar 2017 Seite 79 von 117

80 d) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1. (3) Das in den Absätzen 1 und 2 genannte Verzeichnis ist schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann. (4) Der Verantwortliche oder der Auftragsverarbeiter sowie gegebenenfalls der Vertreter des Verantwortlichen oder des Auftragsverarbeiters stellen der Aufsichtsbehörde das Verzeichnis auf Anfrage zur Verfügung. (5) Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, sofern die von ihnen vorgenommene Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder nicht die Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 einschließt. I. Erklärung der Rechtsnorm Laut dieser Regelung sind alle Verantwortlichen verpflichtet, schriftlich oder elektronisch, ein Verzeichnis zu führen, in dem alle Datenverarbeitungstätigkeiten aufgeführt sind. Das Datenverarbeitungsverzeichnis hat den Sinn, dass die Verantwortlichen nachweisen können, wie mit den personenbezogenen Daten der Bürgerinnen und Bürgern umgegangen wird und dass die Regelungen der EU-DSGVO eingehalten werden. Das Verzeichnis muss laut der Verordnung folgende Punkte beinhalten: Den Namen und die Kontaktdaten des Verantwortlichen Die Zwecke der Verarbeitung Eine Beschreibung der Kategorien der Daten Kategorien der Empfänger der von personenbezogenen Daten Ggfs. Übermittlungen von personenbezogenen Daten an ein Drittstaat Das Verzeichnis kann enthalten wenn möglich: Die einzelnen Löschfristen der Kategorien personenbezogener Daten Eine Beschreibung der Maßnahmen nach Art. 32 Abs. 1 EU-DSGVO II. Empfehlung zur Umsetzung Die meisten Kommunen brauchen dieses Verzeichnis nicht selbst zu erstellen, da die Auftragsverarbeiter, wie der KDRS, bereits für ihre für bestimmte Fachverfahren angebotenen IT-Produkte die oben genannten Punkte ausformulieren. Es ist aber zu empfehlen, für mit eigenen IT-Mitteln durchgeführte Verwaltungsprozesse ein Verzeichnis zu erstellen. Dies trifft vermutlich vermehrt für freiwillige Aufgaben einer Gemeinde zu, zu denen sie nicht verpflichtet ist. 31. Januar 2017 Seite 80 von 117

81 Beispiel: Eine Stadt bietet jedes Jahr zu den Sommerferien für die Schülerinnen und Schüler ein Kinderferienprogramm an. Für die Anmeldung müssen die Eltern die personenbezogenen Daten (Name, Alter, Adresse,...) angeben. Für diese Datenverarbeitung muss die Gemeinde nun ein Verzeichnis nach den oben genannten Kriterien erstellen. Empfehlenswert ist es, auf dem Anmeldebogen für die Datenerhebung eine kurze Anmerkung zu machen, für welche Zwecke die Daten erhoben werden, was mit diesen Daten geschieht und für wie lange die Daten gespeichert werden. Im Anhang befindet sich ein Beispiel, wie ein Verarbeitungsverzeichnis aussehen könnte (Anhang 3). Art. 31 Zusammenarbeit mit der Aufsichtsbehörde Der Verantwortliche und der Auftragsverarbeiter und gegebenenfalls deren Vertreter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen. I. Erklärung der Rechtsnorm Die Verantwortlichen müssen mit den Aufsichtsbehörden zusammenarbeiten, damit die Aufsichtsbehörden ihren Aufgaben nachkommen können. Dies gilt ebenso für die Auftragsverarbeiter. II. Empfehlung zur Umsetzung Je nachdem was die Aufsichtsbehörde verlangt, sollten Sie die angefragten Unterlagen der Aufsichtsbehörde weiterleiten. Beispiele hierfür sind: das Verarbeitungsverzeichnis (Art.30), interne Datenschutzrichtlinien, Fortbildungspläne Stellenplan, Ernennungsurkunde vom Datenschutzbeauftragten die Risikoanalyse, eine etwaige Datenschutzfolgenabschätzung (falls die Kommune z.b. ein Online-Portal für ihre Bürger erstellt hat, in der personenbezogene Daten verarbeitet werden.) 31. Januar 2017 Seite 81 von 117

82 Artikel 32 Sicherheit der Verarbeitung (1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein: a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten; b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. (2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch ob unbeabsichtigt oder unrechtmäßig Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden. (3) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen. (4) Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet. I. Erklärung der Rechtsnorm Aus dem Artikel 32 EU-DSGVO folgt, dass die Sicherheit der Verarbeitung von personenbezogenen Daten gewährleistet sein muss. Hier gilt grundsätzlich, dass der aktuelle Stand der Technik beachtet werden muss, da sich die Arten der Datenverarbeitung, aber auch die Kriminalität in diesem Bereich rasanten Veränderungen unterliegen. Neben der Suche nach geeigneten technischen Mitteln, soll auch im finanziellen Aspekt auf die Angemessenheit und Geeignetheit geachtet werden. Hier werden Maßnahmen in einer nicht abschließenden Aufzählung vorgestellt: a) Die Pseudonymisierung und Verschlüsselung personenbezogener Daten; 31. Januar 2017 Seite 82 von 117

83 b) Die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen 10 ; d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. Zu berücksichtigen sind auch die Risiken, welche bei der Verarbeitung personenbezogener Daten auftreten können. Hier kann es vorkommen, dass jemand unbeabsichtigt oder unberechtigt Daten löscht, manipuliert oder unbefugt weitergibt. Als Nachweis, dass die Erfüllung dieser Anforderungen gewährleistet ist, verweist der Artikel 32 (3) EU-DSGVO auf die Möglichkeiten, die Artikel 40 und Artikel 42 EU-DSGVO heranzuziehen. Der Artikel 40 EU-DSGVO behandelt die Einhaltung genehmigter Verhaltensregeln und Artikel 42 das genehmigte Zertifizierungsverfahren. Der Verantwortliche und der Auftragsverarbeiter der personenbezogenen Daten, müssen sicherstellen, dass nur befugte Personen Zugang zu den jeweiligen Daten haben und diese nur auf Anweisung des Verantwortlichen verarbeitet werden, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet. II. Empfehlungen zur Umsetzung: Maßnahmen zur Sicherung des Schutzes von personenbezogenen Daten könnten in der Praxis beispielsweise so umgesetzt werden: 10 Der tatsächliche Dimension von rasch richtet sich jeweils nach den technischen Möglichkeiten. Es kann aber so verstanden werden, dass kein schuldhaftes Verzögern vorliegen darf. Es handelt sich hierbei um einen unbestimmten Rechtsbegriff. 31. Januar 2017 Seite 83 von 117

84 Quelle: Eigene Darstellung, Bilder allesamt Creative Commons-lizensiert Beachtet werden muss hierbei, dass der Auftragsverarbeiter und der für die Verarbeitung Verantwortliche hier Adressaten sind. Somit besteht die Notwendigkeit, ggf. nachzuweisen, dass man sich gemeinsam hierzu abgestimmt hat. Dieser Nachweis kann z. B. durch ein Protokoll über einen alle zwei Jahre stattfindenden Sicherheitsreview geführt werden. 31. Januar 2017 Seite 84 von 117

85 Artikel 33 - Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (1) Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 51 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen. (2) Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Verantwortlichen unverzüglich. (3) Die Meldung gemäß Absatz 1 enthält zumindest folgende Informationen: a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze; b) den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen; c) eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten; d) eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen. (4) Wenn und soweit die Informationen nicht zur gleichen Zeit bereitgestellt werden können, kann der Verantwortliche diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen. (5) Der Verantwortliche dokumentiert Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Diese Dokumentation muss der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels ermöglichen. I. Erklärung der Rechtsnorm Falls eine Verletzung des Schutzes von personenbezogenen Daten vorliegt, muss der Verantwortliche dies unverzüglich und möglichst innerhalb von 72 Stunden, nachdem ihm die Verletzung bekannt wurde, der zuständigen Aufsichtsbehörde melden. Die zuständige Aufsichtsbehörde regelt sich nach dem Artikel 51 EU-DSGVO. Falls dies nicht innerhalb von 31. Januar 2017 Seite 85 von 117

86 72 Stunden möglich ist, ist eine Begründung erforderlich, welche der Meldung beigelegt wird 11. Eine Meldung ist nicht notwendig, wenn die Rechte oder Freiheiten einer natürlichen Person nicht verletzt werden. Der Auftragsverarbeiter muss dem Verantwortlichen sofort melden, wenn ihm eine Verletzung des Schutzes von personenbezogenen Daten bekannt wird. Falls die Informationen dem Betroffenen nicht in vollem Umfang und gleichzeitig zur Verfügung gestellt werden können, hat der Verantwortliche die Möglichkeit die Informationen schrittweise, jedoch ohne unangemessene weitere Verzögerungen, zur Verfügung zu stellen. Für die Aufsichtsbehörde muss nachvollziehbar dokumentiert werden, in welchem Umfang die Verletzungen des Schutzes von personenbezogenen Daten, einschließlich aller im Zusammenhang mit der Verletzung stehenden weiteren Folgen, im Sinne dieser Bestimmungen erkannt und abgearbeitet werden. Es gibt keine bestimmte Reihenfolge ob zuerst der Auftragsverarbeiter oder die Behörde eine Mitteilung erstellen muss, sondern es gilt: wer die Verletzung des Schutzes von personenbezogenen Daten bemerkt, muss die Mitteilung erstellen. Damit die Aufsichtsbehörde die Einhaltung der Bestimmungen des Artikels 33 EU-DSGVO überprüfen kann, sind auch die Auswirkungen und die ergriffenen Abhilfemaßnahmen, bezüglich der Verletzung des Schutzes personenbezogener Daten, festgehalten werden. II. Empfehlungen zur Umsetzung 1. Bei Verletzung des Schutzes von personenbezogenen Daten innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde melden Falls dies nicht innerhalb von 72 Stunden möglich ist, ist zusätzlich eine Begründung erforderlich 2. Eine Meldung ist nicht notwendig, wenn die Rechte oder Freiheiten einer natürlichen Person nicht verletzt werden. Mindestinhalt einer Meldung: Beschreibung der Art der Verletzung des Datenschutzes und soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze; 11 Inwieweit Wochenende, Urlaub o.dgl. von den Aufsichtsbehörden als hinreichender Grund für einen Verstoß gegen die 72-Stunden-Vorgabe akzeptiert wird, kann per heute nicht beurteilt werden. Somit wäre evtl. sogar Rufbereitschaft des Datenschutzverantwortlichen und/oder des Dienststellenleiters, wenigstens Erreichbarkeit, erforderlich. 31. Januar 2017 Seite 86 von 117

87 Name und Kontaktdaten des Datenschutzbeauftragten eine Beschreibung der wahrscheinlichen Folgen eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Datenschutzes Falls die Informationen dem Betroffenen nicht in vollem Umfang und gleichzeitig zur Verfügung gestellt werden können, schrittweise zur Verfügung zu stellen. Es bleibt abzuwarten, welche technischen und prozessualen Vorgaben, bspw. elektronische Meldungen über gesicherte Portale, die Aufsichtsbehörden hier vorgeben. Artikel 34 - Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person (1) Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung. (2) Die in Absatz 1 genannte Benachrichtigung der betroffenen Person beschreibt in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten und enthält zumindest die in Artikel 33 Absatz 3 Buchstaben b, c und d genannten Informationen und Maßnahmen. (3) Die Benachrichtigung der betroffenen Person gemäß Absatz 1 ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist: a) der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung; b) der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 aller Wahrscheinlichkeit nach nicht mehr besteht; c) dies mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden. (4) Wenn der Verantwortliche die betroffene Person nicht bereits über die Verletzung des Schutzes personenbezogener Daten benachrichtigt hat, kann die Aufsichtsbehörde unter Berücksichtigung der Wahrscheinlichkeit, mit der die Verletzung des Schutzes personenbezogener Daten zu einem hohen Risiko führt, von dem Verantwortlichen 31. Januar 2017 Seite 87 von 117

88 verlangen, dies nachzuholen, oder sie kann mit einem Beschluss feststellen, dass bestimmte der in Absatz 3 genannten Voraussetzungen erfüllt sind. I. Erklärung der Rechtsnorm Wenn die Verletzung des Schutzes personenbezogener Daten vorrausichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat, so muss der Verantwortliche die betroffene Person unverzüglich von der Verletzung in Kenntnis setzen. Diese Benachrichtigung soll möglichst in einer einfachen und gut verständlichen Sprache verfasst werden. Hierbei ist zu beachten, dass diese Benachrichtigung keine Zustellung i.s.d. VwVZG ist, sondern eine einfache Bekanntgabe ausreichend ist. Eine formelle Zustellung ist nicht erforderlich, wenngleich nicht schädlich. Der Artikel 34 Abs. 2 EU-DSGVO bestimmt Mindestinhalte und verweist hierbei auf den Artikel 33 Abs.3 Buchstaben b), c) und d) EU-DSGVO. Der Artikel 34 Abs.3 EU-DSGVO zählt Bedingungen auf, bei deren Erfüllung von einer Benachrichtigung abgesehen werden kann: a) der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung; b) der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 aller Wahrscheinlichkeit nach nicht mehr besteht; c) dies mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden. Die Aufsichtsbehörde wird dazu ermächtigt, von dem Verantwortlichen zu verlangen, den Betroffenen zu benachrichtigen, falls dies noch nicht geschehen ist. Dies geschieht unter der Berücksichtigung der Wahrscheinlichkeit, wie hoch das Risiko für den Betroffenen durch die Verletzung des Schutzes der personenbezogenen Daten wird. II. Empfehlungen zur Umsetzung Wenn die Behörde bzw. der Verantwortliche feststellt, dass eine Verletzung des Schutzes von personenbezogener Daten vorausichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat, so ist der Betroffene darüber in Kenntnis zu setzen. Dabei zu beachten ist: Unverzügliche Information von der Verletzung. 31. Januar 2017 Seite 88 von 117

89 möglichst in einer einfachen und gut verständlichen Sprache verfasstes Schreiben. Name und Kontaktdaten des Datenschutzbeauftragten. eine Beschreibung der wahrscheinlichen Folgen. eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Datenschutzes. Falls die Informationen dem Betroffenen nicht in vollem Umfang und gleichzeitig zur Verfügung gestellt werden können, schrittweise zur Verfügung zu stellen. Fallbeispiel: Eine Frau zieht in ein Frauenhaus, da ihr Leben von ihrem Ehemann oder Freund bedroht wird. Wenn die Polizei die Adresse des Frauenhauses per an die Verwaltung schickt, kann es sein, dass dem Gefährder diese Mail bekannt wird, da es sich bei der um ein sehr unsicheres Kommunikationsmedium handelt. In diesem Fall ist die Frau hiervon in Kenntnis zu setzen, da ihr Leben dadurch in Gefahr sein kann. Artikel 35 - Datenschutz-Folgenabschätzung (1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden. (2) Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde, ein. (3) Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich: a) systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen; b) umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder c) systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche. (4) Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die gemäß Absatz 1 eine Datenschutz-Folgenabschätzung durchzuführen ist, und veröffentlicht diese. Die Aufsichtsbehörde übermittelt diese Listen dem in Artikel 68 genannten Ausschuss. (5) Die Aufsichtsbehörde kann des Weiteren eine Liste der Arten von Verarbeitungsvorgängen erstellen und veröffentlichen, für die keine Datenschutz- Folgenabschätzung erforderlich ist. Die Aufsichtsbehörde übermittelt diese Listen dem Ausschuss. 31. Januar 2017 Seite 89 von 117

90 (6) Vor Festlegung der in den Absätzen 4 und 5 genannten Listen wendet die zuständige Aufsichtsbehörde das Kohärenzverfahren gemäß Artikel 63 an, wenn solche Listen Verarbeitungstätigkeiten umfassen, die mit dem Angebot von Waren oder Dienstleistungen für betroffene Personen oder der Beobachtung des Verhaltens dieser Personen in mehreren Mitgliedstaaten im Zusammenhang stehen oder die den freien Verkehr personenbezogener Daten innerhalb der Union erheblich beeinträchtigen könnten. (7) Die Folgenabschätzung enthält zumindest Folgendes: a) eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen; b) eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck; c) eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und d) die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird. (8) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 durch die zuständigen Verantwortlichen oder die zuständigen Auftragsverarbeiter ist bei der Beurteilung der Auswirkungen der von diesen durchgeführten Verarbeitungsvorgänge, insbesondere für die Zwecke einer Datenschutz-Folgenabschätzung, gebührend zu berücksichtigen. (9) Der Verantwortliche holt gegebenenfalls den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung unbeschadet des Schutzes gewerblicher oder öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge ein. (10) Falls die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe c oder e auf einer Rechtsgrundlage im Unionsrecht oder im Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, beruht und falls diese Rechtsvorschriften den konkreten Verarbeitungsvorgang oder die konkreten Verarbeitungsvorgänge regeln und bereits im Rahmen der allgemeinen Folgenabschätzung im Zusammenhang mit dem Erlass dieser Rechtsgrundlage eine Datenschutz-Folgenabschätzung erfolgte, gelten die Absätze 1 bis 7 nur, wenn es nach dem Ermessen der Mitgliedstaaten erforderlich ist, vor den betreffenden Verarbeitungstätigkeiten eine solche Folgenabschätzung durchzuführen. (11) Erforderlichenfalls führt der Verantwortliche eine Überprüfung durch, um zu bewerten, ob die Verarbeitung gemäß der Datenschutz-Folgenabschätzung durchgeführt wird; dies gilt zumindest, wenn hinsichtlich des mit den Verarbeitungsvorgängen verbundenen Risikos Änderungen eingetreten sind. 31. Januar 2017 Seite 90 von 117

91 I. Erklärung der Rechtsnorm Für die Verarbeitungsvorgänge mit personenbezogenen Daten soll eine Datenschutz- Folgenabschätzung erstellt werden. Hierbei ist abzuwägen, welche Risiken ein jeweiliger Verarbeitungsvorgang mit sich bringt, welche Verletzungen des Datenschutzes eintreffen können und wie wahrscheinlich dies ist. Es ist also für jeden Verarbeitungsvorgang eine individuelle Datenschutz-Folgenabschätzung zu erstellen. Der Artikel 35 Abs. 1 EU DSGVO sieht allerdings vor, dass für mehrere ähnliche Verarbeitungsvorgänge eine einzige Abschätzung ausreicht. Konkret bedeutet dies, dass man für ein Fachverfahren eine bereits erfolgte Folgeabschätzung allerwenigstens als Blaupause für die anderen Anwender nehmen kann. Für die Erstellung der Datenschutz-Folgenabschätzung sollte der Verantwortliche den Rat des Datenschutzbeauftragten einholen. Der Artikel 35 Abs. 3 EU DSGVO legt fest in welchen Fällen eine Datenschutz- Folgenabschätzung insbesondere erforderlich ist: a) systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen; b) umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder c) systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche. II. Was ist eine Datenschutz-Folgenabschätzung? Die Datenschutz-Folgenabschätzung ist vergleichbar mit der bereits existierenden Vorabkontrolle ( 4d Abs. 5 BDSG). Sie ist immer durchzuführen, wenn personenbezogene Daten verarbeitet werden sollen. Die Gefahren von missbräuchlichem Umgang mit den 31. Januar 2017 Seite 91 von 117

92 sensiblen Daten sollen hier für die jeweiligen Verarbeitungsschritte erfasst werden. Infolge dessen sind Maßnahmen zu beschreiben, die dieses Risiko eindämmen. III. Empfehlungen zur Umsetzung Beispiel für die Erstellung einer Datenschutzfolgenabschätzung anhand einer Checkliste: Mindestinhalte: Beschreibung des Verarbeitungsvorgangs; Zweck der Verarbeitung (ggf. zusätzlich verfolgte Interessen) und Mittel; Bewertung der Notwendigkeit und Verhältnismäßigkeit; Risiken für betroffene Personen; Abhilfemaßnahmen gegen die Risiken. Beispiele, wann eine Datenschutzfolgenabschätzung erstellt werden muss: Bei einer öffentlichen Überwachung, z.b. durch Videokameras; Wenn Verarbeitungen systematisch und in großem Umfang durchgeführt werden sollen; Bei geplanter Verarbeitung von Daten um Profiling durchzuführen; Wenn die Anzahl der betroffenen Personen sehr hoch ist; Falls neue Technologien eingeführt werden, mit denen eine Verarbeitung geplant ist; Allgemein wenn neue Technologien oder Verarbeitungsweisen erfunden werden. 31. Januar 2017 Seite 92 von 117

93 Beispiel einer Datenschutzfolgenabschätzung Verarbeitungsvorgang Einwohnermeldeamt: Erfassen von Namen, Geburten, Eheschließung en, Alter, Wohnsitzadressen, Konfessionen, Herkunft, Nationalitäten Zweck und Mittel Festhalten von Informationen bezüglich Anzahl der Bürger und deren persönlichen Informationen. Verarbeitung mit Software des Personenstand wesens und Speicherung der Daten auf dem Server eines Auftragsverarbeiters. Schülerbeförderung Erfassen der Namen und der Wohnorte von betroffenen Schülern zur Organisation von Schulbusfahrten. Erfassung der Daten anhand einer physischen Liste. Notwendigkeit und Verhältnismäßigkeit Kontrolle über die Anzahl der Einwohner in der Gemeinde oder Stadt. Nachvollziehbarkeit über den Aufenthaltsort des jeweiligen Bürgers, für die Kontaktaufnahme. Sehr sensible Sammlung an personenbezogenen Daten, allerdings notwendig für die Aufgabenerfüllung. Die Daten sind erforderlich um festzustellen welche Bushaltestellen oder andere Stellen angefahren werden müssen. Namen sind erforderlich um die Schüler festzustellen um deren Anzahl zu erfassen, da dies notwendig ist genügend Plätze im Bus zu organisieren. Sensibilität der Daten gering Verhältnismäßigkeit ist gegeben. Risiken Diebstahl oder Manipulation der personenbezogenen Daten und deren Missbrauch. - Unbefugte oder befugte Person mit böser Absicht verschafft sich Zugang zu Benutzeroberfläche. - Rechner der Verwaltung wird gehackt. - Server, der die Daten beinhaltet wird gehackt oder gestohlen. Verlust oder Unbrauchbarmachung der Daten durch Hardwaredefekte, Hardwarezerstörung oder fehlerhafte Bedienung der Software. Diebstahl oder Manipulation der personenbezogenen Daten und deren Missbrauch. - Unbefugte oder befugte Person mit böser Absicht verschafft sich Zugang zu den Akten und manipuliert, zerstört oder stiehlt diese. Abhilfemaßnahmen - Schulung der Mitarbeiter zum Umgang mit der Software. - Sensibilisierung der Mitarbeiter bezüglich der Gefahren. - Physische Sicherung der Räume und der Hardware, welche personenbezogene Daten beinhaltet oder Zugang zu ihnen ermöglicht, durch Schlösser. - Schutz durch Software wie Antivirenprogramme. - Für Zugang benötigte Kennwörter. - Sensibilisierung der Mitarbeiter bezüglich der Gefahren. - Sicherung des Raumes in denen sich die Akten befinden durch Schlösser. - Sicherung der Akten durch verschließbare Schränke. - beachten, dass Akten nicht unbeaufsichtigt und offen herumliegen 31. Januar 2017 Seite 93 von 117

94 Artikel 36 - Vorherige Konsultation (1) Der Verantwortliche konsultiert vor der Verarbeitung die Aufsichtsbehörde, wenn aus einer Datenschutz-Folgenabschätzung gemäß Artikel 35 hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft. (2) Falls die Aufsichtsbehörde der Auffassung ist, dass die geplante Verarbeitung gemäß Absatz 1 nicht im Einklang mit dieser Verordnung stünde, insbesondere weil der Verantwortliche das Risiko nicht ausreichend ermittelt oder nicht ausreichend eingedämmt hat, unterbreitet sie dem Verantwortlichen und gegebenenfalls dem Auftragsverarbeiter innerhalb eines Zeitraums von bis zu acht Wochen nach Erhalt des Ersuchens um Konsultation entsprechende schriftliche Empfehlungen und kann ihre in Artikel 58 genannten Befugnisse ausüben. Diese Frist kann unter Berücksichtigung der Komplexität der geplanten Verarbeitung um sechs Wochen verlängert werden. Die Aufsichtsbehörde unterrichtet den Verantwortlichen oder gegebenenfalls den Auftragsverarbeiter über eine solche Fristverlängerung innerhalb eines Monats nach Eingang des Antrags auf Konsultation zusammen mit den Gründen für die Verzögerung. Diese Fristen können ausgesetzt werden, bis die Aufsichtsbehörde die für die Zwecke der Konsultation angeforderten Informationen erhalten hat. (3) Der Verantwortliche stellt der Aufsichtsbehörde bei einer Konsultation gemäß Absatz 1 folgende Informationen zur Verfügung: a) gegebenenfalls Angaben zu den jeweiligen Zuständigkeiten des Verantwortlichen, der gemeinsam Verantwortlichen und der an der Verarbeitung beteiligten Auftragsverarbeiter, insbesondere bei einer Verarbeitung innerhalb einer Gruppe von Unternehmen; b) die Zwecke und die Mittel der beabsichtigten Verarbeitung; c) die zum Schutz der Rechte und Freiheiten der betroffenen Personen gemäß dieser Verordnung vorgesehenen Maßnahmen und Garantien; d) gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten; e) die Datenschutz-Folgenabschätzung gemäß Artikel 35 und f) alle sonstigen von der Aufsichtsbehörde angeforderten Informationen. (4) Die Mitgliedstaaten konsultieren die Aufsichtsbehörde bei der Ausarbeitung eines Vorschlags für von einem nationalen Parlament zu erlassende Gesetzgebungsmaßnahmen oder von auf solchen Gesetzgebungsmaßnahmen basierenden Regelungsmaßnahmen, die die Verarbeitung betreffen. (5) Ungeachtet des Absatzes 1 können Verantwortliche durch das Recht der Mitgliedstaaten verpflichtet werden, bei der Verarbeitung zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe, einschließlich der Verarbeitung zu Zwecken der sozialen Sicherheit und der öffentlichen Gesundheit, die Aufsichtsbehörde zu konsultieren und deren 31. Januar 2017 Seite 94 von 117

95 vorherige Genehmigung einzuholen. I. Erklärung der Rechtsnorm Im Artikel 36 der EU-DSGVO geht es um die verpflichtende Konsultation der Aufsichtsbehörde. Wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die geplante Verarbeitung von personenbezogenen Daten ein hohes Risiko zur Folge hätte, welches nicht ausreichend durch Schutzmaßnahmen abgesichert werden kann, dann informiert der Verantwortliche die Aufsichtsbehörde um vorab eine Lösung zu finden. Hierzu müssen an die Aufsichtsbehörde Informationen übermittelt werden, welche im Artikel 36 Abs. 3 EU-DSGVO genannt werden: 1. Angaben zu den jeweiligen Zuständigkeiten der Verantwortlichen, und der Auftragsverarbeiter, insbesondere bei einer Verarbeitung innerhalb einer Gruppe von Unternehmen; 2. Zwecke und Mittel der geplanten Verarbeitung; 3. zum Schutz der Rechte und Freiheiten der betroffenen Personen vorgesehenen Maßnahmen und Garantien; 4. gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten; 5. die erstellte Datenschutz-Folgenabschätzung und 6. alle sonstigen, von der Aufsichtsbehörde angeforderten Informationen. Anhand dieser Informationen wird die Lage von der Aufsichtsbehörde geprüft. Auf Grund dessen kann die Aufsichtsbehörde dann eine schriftliche Empfehlung geben sowie ihre in Artikel 58 EU-DSGVO genannten Befugnisse ausüben Ein Beispiel für eine Verarbeitung, die hohes Risiko in sich birgt, wären historisch die sog. Rosa Listen, die nach Angaben von Reichstagsabgeordneten Bebel von der Berliner Polizei Ende des 19. Jahrhunderts über Homosexuelle geführt wurden 12. Diese Listen dienten später dem NS-Regime zur Verfolgung der darin aufgeführten Personen. II. Empfehlungen zur Umsetzung Zusammengefasst geht aus diesem Artikel hervor, dass die Behörde bzw. der Verantwortliche die Aufsichtsbehörde informieren muss, wenn aus der eigenen Datenschutzfolgenabschätzung ein hohes Risiko hervorgeht. Hierfür werden Informationen, die zu übermitteln sind, genannt: Angaben zu den jeweiligen Zuständigkeiten der Verantwortlichen, und der Auftragsverarbeiter, insbesondere bei einer Verarbeitung innerhalb einer Gruppe von Unternehmen; Zwecke und Mittel der geplanten Verarbeitung; zum Schutz der Rechte und Freiheiten der betroffenen Personen vorgesehenen Maßnahmen und Garantien; gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten; die erstellte Datenschutz-Folgenabschätzung und 12 Bösch, Frank: Öffentliche Geheimnisse Skandale, Politik und Medien in Deutschland und Großbritannien , S. 98. R. Oldenbourg Verlag München, Januar 2017 Seite 95 von 117

96 alle sonstigen von der Aufsichtsbehörde angeforderten Informationen. III. Übersicht der Pflichten für den Verantwortlichen aus EU- DSGVO Zusammengefasst ergeben sich aus den Artikeln 32 bis Artikel 36 der EU DSGVO folgende Pflichten und Maßnahmen, die von der Verwaltung beachtet werden müssen: 1. Pflicht zum Aufbau eines Sicherheitskonzeptes zum Schutz personenbezogener Daten: 1.1 Schulung des Personals im Umgang mit entsprechender Software; 1.2 Kontrolle, dass nur befugtes Personal Zugang zu sensiblen Daten hat; 1.3 Errichtung von Schutzmaßnahmen gegen Diebstahl von Datenträgern; 1.4 Software zum Schutz von Hackerangriffen. 2. Beachtung von Mitteilungspflichten und Adressaten: 2.1 Benachrichtigung der Betroffenen bei Verletzung des Schutzes personenbezogener Daten (nicht notwendig, wenn die Rechte oder Freiheiten einer natürlichen Person nicht verletzt werden.); 2.2 Mindestinhalt der Meldung an die Aufsichtsbehörde: eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze; den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen; eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten; eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen 3. Erstellen und Bewertung einer Datenschutz-Folgenabschätzung 3.1 Einhalten der Mindestinhalte Beschreibung des Verarbeitungsvorgangs Zweck der Verarbeitung und Mittel der Verarbeitung Bewertung der Notwendigkeit und Verhältnismäßigkeit Risiken für betroffene Personen Abhilfemaßnahmen gegen die Risiken 3.2 Information der Aufsichtsbehörde, wenn aus der Datenschutz-Folgenabschätzung hervorgeht, dass ein zu großes Risiko besteht Zu übermittelnde Informationen beachten. 31. Januar 2017 Seite 96 von 117

97 Art Benennung eines Datenschutzbeauftragten (1) Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn a) die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln, b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht. (2) Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann. (3) Falls es sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde oder öffentliche Stelle handelt, kann für mehrere solcher Behörden oder Stellen unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe ein gemeinsamer Datenschutzbeauftragter benannt werden. (4) In anderen als den in Absatz 1 genannten Fällen können der Verantwortliche oder der Auftragsverarbeiter oder Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, einen Datenschutzbeauftragten benennen; falls dies nach dem Recht der Union oder der Mitgliedstaaten vorgeschrieben ist, müssen sie einen solchen benennen. Der Datenschutzbeauftragte kann für derartige Verbände und andere Vereinigungen, die Verantwortliche oder Auftragsverarbeiter vertreten, handeln. (5) Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben. (6) Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen. (7) Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit. I. Erklärung der Rechtsnorm Durch Art. 37 EU-DSGVO wird den Behörden direkt die Pflicht aufgetragen, dass sie einen Datenschutzbeauftragten benennen müssen. Im BDSG bzw. den LDSG gibt es diese Verpflichtung nicht. 31. Januar 2017 Seite 97 von 117

98 Nach Absatz 3 gibt es die Möglichkeit, dass für mehrere Behörden ein gemeinsamer Datenschutzbeauftragter bestellt werden kann. Hierfür muss die Organisationsstruktur und die Größe beachtet werden. Bei der Wahl des Datenschutzbeauftragten ist auf seine fachliche Kompetenz zu achten. Er muss sich auf dem Gebiet des Datenschutzrechts auskennen. Nach Absatz 6 kann er Angestellter des Verantwortlichen oder des Auftragsverarbeiters sein. Die Kontaktdaten müssen nach Absatz 7 veröffentlicht werden und der Aufsichtsbehörden mitgeteilt werden. II. Empfehlungen zur Umsetzung Durch die Regelung des Art. 37 gibt es für Behörden die Pflicht einen Datenschutzbeauftragten zu benennen, nicht jedoch einen einzustellen. Dies ergibt sich aus dem Kontext des Abs. 7, da der Datenschutzbeauftragte auch beim Auftragsverarbeiter angestellt werden kann. Es gibt sogar die Möglichkeit nach Absatz 3, dass ein Datenschutzbeauftragter für mehrere Behörden tätig sein kann. Dies ermöglicht es z. B. kleineren Kommunen, die in Form einer vereinbarten Verwaltungsgemeinschaft zusammenarbeiten oder gemeinsam Aufgaben erledigen, (z.b. gemeinsame Abwasserentsorgung, etc.) einen gemeinsamen Datenschutzbeauftragten einzustellen. Die Form der Anstellung ist den Kommunen freigestellt. Des Weiteren können die Kommunen ihre Auftragsverarbeiter, wie z.b. KDRS, anfragen, ob die Aufgaben des Datenschutzbeauftragten von ihnen erledigt werden kann. Für die Personalauswahl eines Datenschutzbeauftragten gibt es keine genaueren Vorgaben in der Verordnung, außer dass die fachlichen Voraussetzungen vorliegen müssen. Da dies nicht in der Verordnung definiert ist, kann jede Behörde für sich selbst festlegen, wie tief das Fachwissen zum Datenschutz gehen muss, welche Praxiserfahrungen und beruflichen Qualifikationen vorhanden sein müssen. Es ist zu empfehlen, dass hier Angestellte mit einem rechtswissenschaftlichen Studium mit Kenntnissen im Bereich des Datenschutzes, oder ein Studium im Bereich Informatik oder Informationstechnik mit gewissen Rechtskenntnissen ausgewählt werden. Es wäre auch möglich, Verwaltungsbeamte des gehobenen nichttechnischen Dienstes einzustellen, die einschlägige Berufserfahrung oder fundierte Fachkenntnisse in dem Bereich IT oder Datenschutz aufweisen. Art Stellung des Datenschutzbeauftragten (1) Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird. (2) Der Verantwortliche und der Auftragsverarbeiter unterstützen den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben gemäß Artikel 39, indem sie die 31. Januar 2017 Seite 98 von 117

99 für die Erfüllung dieser Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung stellen. (3) Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält. Der Datenschutzbeauftragte darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters. (4) Betroffene Personen können den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß dieser Verordnung im Zusammenhang stehenden Fragen zu Rate ziehen. (5) Der Datenschutzbeauftragte ist nach dem Recht der Union oder der Mitgliedstaaten bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden. (6) Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen. I. Erklärung der Rechtsnorm Nach Art. 38 EU-DSGVO ergeben sich folgende Punkte für die Stellung des Datenschutzbeauftragten: Unabhängigkeit des Datenschutzbeauftragten Zur Verfügung Stellung aller erforderlichen Informationen und Ressourcen, die für die Aufgabenerfüllung notwendig sind. Dazu gehören genug Personal, Räumlichkeiten, IT-Infrastruktur, Finanzen Der Datenschutzbeauftragte darf mit keinen weiteren Tätigkeiten betraut werden, die einen Interessenskonflikt darstellen könnten. keine Benachteiligung aufgrund seiner Stellung als Datenschutzbeauftragter Er muss in alle wesentliche Fragen mit eingebunden werden Er ist zur Geheimhaltung verpflichtet Es müssen regelmäßig Informationen oder zu wichtigen Anlässen an die Verwaltungsleitung erfolgen II. Empfehlung zur Umsetzung Es ist zu empfehlen, die Position eines hauptamtlichen Datenschutzbeauftragten als eine Stabstelle zur Verwaltungsleitung einzurichten. Durch dieses Konstrukt ist er keinen Weisungen unterworfen und kann seinen Aufgaben frei nachkommen. Als Stabstelle zur Verwaltungsleitung hat er dann auch den direkten Kontakt zum Bürgermeister und die Kommunikation muss nicht die gesamte Organisationsstruktur durchlaufen. 31. Januar 2017 Seite 99 von 117

100 In der Praxis kommt es oft vor, dass die Aufgaben des Datenschutzbeauftragten den Leitern der Querschnittsämter (Z.B. Bereich Organisation, Personal, Finanzen) zugeordnet sind. Dies ist jedoch im Hinblick auf die Unabhängigkeit und des Verbots des Interessenskonflikts problematisch, da in diesen Leitungsstellen ein politischer Druck von den Verwaltungsgremien (z.b. Gemeinderat, Kreistag) gegeben sein kann. Es sollte, wie vorher erwähnt, eine neue Abteilung bzw. Stelle für diese Aufgabe geschaffen werden. Art Aufgaben des Datenschutzbeauftragten (1) Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben: a) Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten; b) Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen; c) Beratung auf Anfrage im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35; d) Zusammenarbeit mit der Aufsichtsbehörde; e) Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen. (2) Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt. I. Erklärung der Rechtsnorm In Art. 39 werden die Aufgaben genannt, welche der Datenschutzbeauftragte mindestens zu erfüllen hat. Diese sind in Kürze: Unterrichtung und Beratung Überwachung der Einhaltung dieser Verordnung und Strategien zum Schutz personenbezogener Daten Beratung auf Anfrage im Zusammenhang mit der Datenschutz- Folgenabschätzung und Überwachung ihrer Durchführung Zusammenarbeit mit der Aufsichtsbehörde Anlaufstelle für die Aufsichtsbehörde 31. Januar 2017 Seite 100 von 117

101 Hierbei hat der Datenschutzbeauftragte auf die Risiken der Datenverarbeitungsvorgänge der Verwaltung zu achten. II. Empfehlung zur Umsetzung Um die Qualität der Aufgabenerfüllung zu sichern, sollte der Datenschutzbeauftragte an regelmäßigen Schulungen und Fortbildungen zu aktuellen Datenschutz- und IT- Sicherheitsthemen teilnehmen. Falls es sich anbietet, können dem Datenschutzbeauftragten noch weitere Aufgaben über das beschriebene Tätigkeitsfeld hinaus übertragen werden. Es ist dabei aber zu beachten, dass der Verantwortliche nach Art 24 EU-DSGVO sich dadurch nicht ändert. Art Verhaltensregeln (1) Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission fördern die Ausarbeitung von Verhaltensregeln, die nach Maßgabe der Besonderheiten der einzelnen Verarbeitungsbereiche und der besonderen Bedürfnisse von Kleinstunternehmen sowie kleinen und mittleren Unternehmen zur ordnungsgemäßen Anwendung dieser Verordnung beitragen sollen. (2) Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, können Verhaltensregeln ausarbeiten oder ändern oder erweitern, mit denen die Anwendung dieser Verordnung beispielsweise zu dem Folgenden präzisiert wird: a) faire und transparente Verarbeitung; b) die berechtigten Interessen des Verantwortlichen in bestimmten Zusammenhängen; c) Erhebung personenbezogener Daten; d) Pseudonymisierung personenbezogener Daten; e) Unterrichtung der Öffentlichkeit und der betroffenen Personen; f) Ausübung der Rechte betroffener Personen; g) Unterrichtung und Schutz von Kindern und Art und Weise, in der die Einwilligung des Trägers der elterlichen Verantwortung für das Kind einzuholen ist; h) die Maßnahmen und Verfahren gemäß den Artikeln 24 und 25 und die Maßnahmen für die Sicherheit der Verarbeitung gemäß Artikel 32; 31. Januar 2017 Seite 101 von 117

102 i) die Meldung von Verletzungen des Schutzes personenbezogener Daten an Aufsichtsbehörden und die Benachrichtigung der betroffenen Person von solchen Verletzungen des Schutzes personenbezogener Daten; j) die Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen oder k) außergerichtliche Verfahren und sonstige Streitbeilegungsverfahren zur Beilegung von Streitigkeiten zwischen Verantwortlichen und betroffenen Personen im Zusammenhang mit der Verarbeitung, unbeschadet der Rechte betroffener Personen gemäß den Artikeln 77 und 79. (3) Zusätzlich zur Einhaltung durch die unter diese Verordnung fallenden Verantwortlichen oder Auftragsverarbeiter können Verhaltensregeln, die gemäß Absatz 5 des vorliegenden Artikels genehmigt wurden und gemäß Absatz 9 des vorliegenden Artikels allgemeine Gültigkeit besitzen, können auch von Verantwortlichen oder Auftragsverarbeitern, die gemäß Artikel 3 nicht unter diese Verordnung fallen, eingehalten werden, um geeignete Garantien im Rahmen der Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen nach Maßgabe des Artikels 46 Absatz 2 Buchstabe e zu bieten. Diese Verantwortlichen oder Auftragsverarbeiter gehen mittels vertraglicher oder sonstiger rechtlich bindender Instrumente die verbindliche und durchsetzbare Verpflichtung ein, die geeigneten Garantien anzuwenden, auch im Hinblick auf die Rechte der betroffenen Personen. (4) Die Verhaltensregeln gemäß Absatz 2 des vorliegenden Artikels müssen Verfahren vorsehen, die es der in Artikel 41 Absatz 1 genannten Stelle ermöglichen, die obligatorische Überwachung der Einhaltung ihrer Bestimmungen durch die Verantwortlichen oder die Auftragsverarbeiter, die sich zur Anwendung der Verhaltensregeln verpflichten, vorzunehmen, unbeschadet der Aufgaben und Befugnisse der Aufsichtsbehörde, die nach Artikel 55oder 56 zuständig ist. (5) Verbände und andere Vereinigungen gemäß Absatz 2 des vorliegenden Artikels, die beabsichtigen, Verhaltensregeln auszuarbeiten oder bestehende Verhaltensregeln zu ändern oder zu erweitern, legen den Entwurf der Verhaltensregeln bzw. den Entwurf zu deren Änderung oder Erweiterung der Aufsichtsbehörde vor, die nach Artikel 55 zuständig ist. Die Aufsichtsbehörde gibt eine Stellungnahme darüber ab, ob der Entwurf der Verhaltensregeln bzw. der Entwurf zu deren Änderung oder Erweiterung mit dieser Verordnung vereinbar ist und genehmigt diesen Entwurf der Verhaltensregeln bzw. den Entwurf zu deren Änderung oder Erweiterung, wenn sie der Auffassung ist, dass er ausreichende geeignete Garantien bietet. (6) Wird durch die Stellungnahme nach Absatz 5 der Entwurf der Verhaltensregeln bzw. der Entwurf zu deren Änderung oder Erweiterung genehmigt und beziehen sich die betreffenden Verhaltensregeln nicht auf Verarbeitungstätigkeiten in mehreren Mitgliedstaaten, so nimmt die Aufsichtsbehörde die Verhaltensregeln in ein Verzeichnis auf und veröffentlicht sie. (7) Bezieht sich der Entwurf der Verhaltensregeln auf Verarbeitungstätigkeiten in mehreren Mitgliedstaaten, so legt die nach Artikel 55 zuständige Aufsichtsbehörde - bevor sie den Entwurf der Verhaltensregeln bzw. den Entwurf zu deren Änderung oder Erweiterung genehmigt ihn nach dem Verfahren gemäß Artikel 63 dem Ausschuss vor, der zu der Frage Stellung nimmt, ob der Entwurf der Verhaltensregeln bzw. der Entwurf zu deren 31. Januar 2017 Seite 102 von 117

103 Änderung oder Erweiterung mit dieser Verordnung vereinbar ist oder im Fall nach Absatz 3 geeignete Garantien vorsieht. (8) Wird durch die Stellungnahme nach Absatz 7 bestätigt, dass der Entwurf der Verhaltensregeln bzw. der Entwurf zu deren Änderung oder Erweiterung mit dieser Verordnung vereinbar ist oder im Fall nach Absatz 3 geeignete Garantien vorsieht, so übermittelt der Ausschuss seine Stellungnahme der Kommission. (9) Die Kommission kann im Wege von Durchführungsrechtsakten beschließen, dass die ihr gemäß Absatz 8 übermittelten genehmigten Verhaltensregeln bzw. deren genehmigte Änderung oder Erweiterung allgemeine Gültigkeit in der Union besitzen. Diese Durchführungsrechtsakte werden gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen. (10) Die Kommission trägt dafür Sorge, dass die genehmigten Verhaltensregeln, denen gemäß Absatz 9 allgemeine Gültigkeit zuerkannt wurde, in geeigneter Weise veröffentlicht werden. (11) Der Ausschuss nimmt alle genehmigten Verhaltensregeln bzw. deren genehmigte Änderungen oder Erweiterungen in ein Register auf und veröffentlicht sie in geeigneter Weise. I. Erklärung der Rechtsnorm Art. 40 stellt einen Ermächtigungsparagraphen, insbesondere für die Mitgliedsstaaten der EU und deren Aufsichtsbehörden, dar. Er erlaubt es, Verhaltensregeln für einzelne Verarbeitungsbereiche zu erstellen, um einen ordnungsgemäße und einheitliche Anwendung zu gewährleisten. Verbände und Vereinigungen, die Verantwortliche oder Auftragsverarbeiter vertreten, können solche Verhaltensregeln ausarbeiten. Diese können untere anderem folgende Begrifflichkeiten präzisieren: faire und transparente Verarbeitung berechtigte Interessen des Verantwortlichen Erhebung personenbezogener Daten Pseudonymisierung personenbezogener Daten Unterrichtung von Öffentlichkeit und Betroffenen Rechte Betroffener Schutz der Kinder und Einwilligung der Eltern Maßnahmen gemäß Art. 25 und 25 und Maßnahmen für die Sicherheit gemäß Art. 32 Meldung von Verletzungen des Schutzes von Daten Übermittlung an Drittländer außergerichtliche Verfahren Dieser Verhaltensregeln müssen von der Aufsichtsbehörde genehmigt werden und werden von dieser in einem Verzeichnis veröffentlicht werden. 31. Januar 2017 Seite 103 von 117

104 Es besteht auch die Möglichkeit, Verhaltensregeln für mehrere Mitgliedsstaaten gemeinsam zu erstellen. II. Empfehlung zur Umsetzung Bisher wurde die Aufsichtsbehörde in Deutschland noch nicht eingerichtet. Somit existieren auch noch keine Verhaltensregeln, die beachtet werden müssen. Werden in Zukunft solche Regeln verabschiedet, sind diese für ihren Bereich dann aber verbindlich gültig. In diesem Fall werden sie dann durch die Aufsichtsbehörde veröffentlicht. Art. 41 Überwachung der genehmigten Verhaltensregeln (1) Unbeschadet der Aufgaben und Befugnisse der zuständigen Aufsichtsbehörde gemäß den Artikeln 57 und 58 kann die Überwachung der Einhaltung von Verhaltensregeln gemäß Artikel 40 von einer Stelle durchgeführt werden, die über das geeignete Fachwissen hinsichtlich des Gegenstands der Verhaltensregeln verfügt und die von der zuständigen Aufsichtsbehörde zu diesem Zweck akkreditiert wurde. (2) Eine Stelle gemäß Absatz 1 kann zum Zwecke der Überwachung der Einhaltung von Verhaltensregeln akkreditiert werden, wenn sie a) ihre Unabhängigkeit und ihr Fachwissen hinsichtlich des Gegenstands der Verhaltensregeln zur Zufriedenheit der zuständigen Aufsichtsbehörde nachgewiesen hat; b) Verfahren festgelegt hat, die es ihr ermöglichen, zu bewerten, ob Verantwortliche und Auftragsverarbeiter die Verhaltensregeln anwenden können, die Einhaltung der Verhaltensregeln durch die Verantwortlichen und Auftragsverarbeiter zu überwachen und die Anwendung der Verhaltensregeln regelmäßig zu überprüfen; c) Verfahren und Strukturen festgelegt hat, mit denen sie Beschwerden über Verletzungen der Verhaltensregeln oder über die Art und Weise, in der die Verhaltensregeln von dem Verantwortlichen oder dem Auftragsverarbeiter angewendet werden oder wurden, nachgeht und diese Verfahren und Strukturen für betroffene Personen und die Öffentlichkeit transparent macht; und d) zur Zufriedenheit der zuständigen Aufsichtsbehörde nachgewiesen hat, dass ihre Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen. (3) Die zuständige Aufsichtsbehörde übermittelt den Entwurf der Kriterien für die Akkreditierung einer Stelle nach Absatz 1 gemäß dem Kohärenzverfahren nach Artikel 63 an den Ausschuss. (4) Unbeschadet der Aufgaben und Befugnisse der zuständigen Aufsichtsbehörde und der Bestimmungen des Kapitels VIII ergreift eine Stelle gemäß Absatz 1 vorbehaltlich geeigneter Garantien im Falle einer Verletzung der Verhaltensregeln durch einen Verantwortlichen oder einen Auftragsverarbeiter geeignete Maßnahmen, einschließlich eines vorläufigen oder endgültigen Ausschlusses des Verantwortlichen oder Auftragsverarbeiters von den 31. Januar 2017 Seite 104 von 117

105 Verhaltensregeln. Sie unterrichtet die zuständige Aufsichtsbehörde über solche Maßnahmen und deren Begründung. (5) Die zuständige Aufsichtsbehörde widerruft die Akkreditierung einer Stelle gemäß Absatz 1, wenn die Voraussetzungen für ihre Akkreditierung nicht oder nicht mehr erfüllt sind oder wenn die Stelle Maßnahmen ergreift, die nicht mit dieser Verordnung vereinbar sind. (6) Dieser Artikel gilt nicht für die Verarbeitung durch Behörden oder öffentliche Stellen. I. Erklärung der Rechtsnorm Art. 41 gilt nicht für die Verarbeitung durch Behörden oder öffentliche Stellen. Er gibt der Aufsichtsbehörde die Möglichkeit, die Überwachung der Einhaltung von Verhaltensregeln an eine geeignete Stelle zu übertragen. Diese kann akkreditiert werden, wenn sie: Unabhängig ist und ihr Fachwissen nachgewiesen hat Verfahren zur Bewertung der Einhaltung von Verhaltensregeln festgelegt hat Verfahren festgelegt hat, um Beschwerden nachzugehen ihre Aufgaben und Pflichten nicht zu Interessenskonflikten führen II. Empfehlung zur Umsetzung Bisher wurde die Aufsichtsbehörde in Deutschland noch nicht eingerichtet. Somit existieren auch noch keine Verhaltensregeln, die beachtet werden müssen. Werden in Zukunft solche Regeln verabschiedet, sind diese für ihren Bereich dann aber verbindlich gültig. In diesem Fall werden sie dann durch die Aufsichtsbehörde veröffentlicht. Art Zertifizierung (1) Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission fördern insbesondere auf Unionsebene die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -prüfzeichen, die dazu dienen, nachzuweisen, dass diese Verordnung bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird. Den besonderen Bedürfnissen von Kleinstunternehmen sowie kleinen und mittleren Unternehmen wird Rechnung getragen. (2) Zusätzlich zur Einhaltung durch die unter diese Verordnung fallenden Verantwortlichen oder Auftragsverarbeiter können auch datenschutzspezifische Zertifizierungsverfahren, Siegel oder Prüfzeichen, die gemäß Absatz 5 des vorliegenden Artikels genehmigt worden sind, vorgesehen werden, um nachzuweisen, dass die Verantwortlichen oder Auftragsverarbeiter, die gemäß Artikel 3 nicht unter diese Verordnung fallen, im Rahmen der Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen nach Maßgabe von Artikel 46 Absatz 2 Buchstabe f geeignete Garantien bieten. Diese Verantwortlichen oder Auftragsverarbeiter gehen mittels vertraglicher oder sonstiger rechtlich 31. Januar 2017 Seite 105 von 117

106 bindender Instrumente die verbindliche und durchsetzbare Verpflichtung ein, diese geeigneten Garantien anzuwenden, auch im Hinblick auf die Rechte der betroffenen Personen. (3) Die Zertifizierung muss freiwillig und über ein transparentes Verfahren zugänglich sein. (4) Eine Zertifizierung gemäß diesem Artikel mindert nicht die Verantwortung des Verantwortlichen oder des Auftragsverarbeiters für die Einhaltung dieser Verordnung und berührt nicht die Aufgaben und Befugnisse der Aufsichtsbehörden, die gemäß Artikel 55 oder 56 zuständig sind. (5) Eine Zertifizierung nach diesem Artikel wird durch die Zertifizierungsstellen nach Artikel 43 oder durch die zuständige Aufsichtsbehörde anhand der von dieser zuständigen Aufsichtsbehörde gemäß Artikel 58 Absatz 3 oder gemäß Artikel 63 durch den Ausschuss genehmigten Kriterien erteilt. Werden die Kriterien vom Ausschuss genehmigt, kann dies zu einer gemeinsamen Zertifizierung, dem Europäischen Datenschutzsiegel, führen. (6) Der Verantwortliche oder der Auftragsverarbeiter, der die von ihm durchgeführte Verarbeitung dem Zertifizierungsverfahren unterwirft, stellt der Zertifizierungsstelle nach Artikel 43 oder gegebenenfalls der zuständigen Aufsichtsbehörde alle für die Durchführung des Zertifizierungsverfahrens erforderlichen Informationen zur Verfügung und gewährt ihr den in diesem Zusammenhang erforderlichen Zugang zu seinen Verarbeitungstätigkeiten. (7) Die Zertifizierung wird einem Verantwortlichen oder einem Auftragsverarbeiter für eine Höchstdauer von drei Jahren erteilt und kann unter denselben Bedingungen verlängert werden, sofern die einschlägigen Voraussetzungen weiterhin erfüllt werden. Die Zertifizierung wird gegebenenfalls durch die Zertifizierungsstellen nach Artikel 43 oder durch die zuständige Aufsichtsbehörde widerrufen, wenn die Voraussetzungen für die Zertifizierung nicht oder nicht mehr erfüllt werden. (8) Der Ausschuss nimmt alle Zertifizierungsverfahren und Datenschutzsiegel und - prüfzeichen in ein Register auf und veröffentlicht sie in geeigneter Weise. I. Erklärung der Rechtsnorm Art. 40 stellt einen Ermächtigungsparagraphen dar. Er ermöglicht es den Mitgliedsstaaten, den Aufsichtsbehörden und dem Ausschuss und der Kommission, die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie Datenschutzsiegeln und - Prüfzeichen zu fördern. Diese dienen dazu, nachzuweisen, dass diese Verordnung bei den Verarbeitungsvorgängen eingehalten wird. Eine solche Zertifizierung muss freiwillig und über ein transparentes Verfahren zugänglich sein. Sie mindert nicht die Verantwortung des Verantwortlichen oder des Auftragsverarbeiters. Eine Zertifizierung wird für eine Höchstdauer von 3 Jahren erteilt, kann aber unter denselben Bedingungen verlängert werden, wenn die Voraussetzungen weiterhin erfüllt werden. Sie kann durch die Aufsichtsbehörde oder Zertifizierungsstelle aber auch widerrufen werden. 31. Januar 2017 Seite 106 von 117

107 II. Empfehlung zur Umsetzung Bisher existieren noch keine Zertifizierungsverfahren nach Art. 40 EU-DSGVO. Werden in Zukunft solche verfügbar, können sie als Nachweis dienen, dass der Verantwortliche oder Auftragsverarbeiter seinen Pflichten aus der EU-DSGVO nachkommt. Der genaue Umfang des Nachweises hängt dann von der Ausgestaltung der jeweiligen Zertifizierung ab. Art. 43 Zertifizierungsstellen (1) Unbeschadet der Aufgaben und Befugnisse der zuständigen Aufsichtsbehörde gemäß den Artikeln 57 und 58 erteilen oder verlängern Zertifizierungsstellen, die über das geeignete Fachwissen hinsichtlich des Datenschutzes verfügen, nach Unterrichtung der Aufsichtsbehörde - damit diese erforderlichenfalls von ihren Befugnissen gemäß Artikel 58 Absatz 2 Buchstabe h Gebrauch machen kann die Zertifizierung. Die Mitgliedstaaten stellen sicher, dass diese Zertifizierungsstellen von einer oder beiden der folgenden Stellen akkreditiert werden: a) der gemäß Artikel 55 oder 56 zuständigen Aufsichtsbehörde; b) der nationalen Akkreditierungsstelle, die gemäß der Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates 13 im Einklang mit EN-ISO/IEC 17065/2012 und mit den zusätzlichen von der gemäß Artikel 55 oder 56 zuständigen Aufsichtsbehörde festgelegten Anforderungen benannt wurde. (2) Zertifizierungsstellen nach Absatz 1 dürfen nur dann gemäß Absatz 1 akkreditiert werden, wenn sie a) ihre Unabhängigkeit und ihr Fachwissen hinsichtlich des Gegenstands der Zertifizierung zur Zufriedenheit der zuständigen Aufsichtsbehörde nachgewiesen haben; b) sich verpflichtet haben, die Kriterien nach Artikel 42 Absatz 5, die von der gemäß Artikel 55 oder 56 zuständigen Aufsichtsbehörde oder gemäß Artikel 63 von dem Ausschuss genehmigt wurden, einzuhalten; c) Verfahren für die Erteilung, die regelmäßige Überprüfung und den Widerruf der Datenschutzzertifizierung sowie der Datenschutzsiegel und -prüfzeichen festgelegt haben; Verfahren und Strukturen festgelegt haben, mit denen sie Beschwerden über Verletzungen der Zertifizierung oder die Art und Weise, in der die Zertifizierung von dem Verantwortlichen oder dem Auftragsverarbeiter umgesetzt wird oder wurde, nachgehen und diese Verfahren und Strukturen für betroffene Personen und die Öffentlichkeit transparent machen, und 13 Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates vom 9. Juli 2008 über die Vorschriften für die Akkreditierung und Marktüberwachung im Zusammenhang mit der Vermarktung von Produkten und zur Aufhebung der Verordnung (EWG) Nr. 339/93 des Rates (ABl. L 218 vom , S. 30) 31. Januar 2017 Seite 107 von 117

108 d) Verfahren und Strukturen festgelegt haben, mit denen sie Beschwerden über Verletzungen der Zertifizierung oder die Art und Weise, in der die Zertifizierung von dem Verantwortlichen oder dem Auftragsverarbeiter umgesetzt wird oder wurde, nachgehen und diese Verfahren und Strukturen für betroffene Personen und die Öffentlichkeit transparent machen, und e) zur Zufriedenheit der zuständigen Aufsichtsbehörde nachgewiesen haben, dass ihre Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen. (3) Die Akkreditierung von Zertifizierungsstellen nach den Absätzen 1 und 2 erfolgt anhand der Kriterien, die von der gemäß Artikel 55 oder 56 zuständigen Aufsichtsbehörde oder gemäß Artikel 63 von dem Ausschuss genehmigt wurden. Im Fall einer Akkreditierung nach Absatz 1 Buchstabe b des vorliegenden Artikels ergänzen diese Anforderungen diejenigen, die in der Verordnung (EG) Nr. 765/2008 und in den technischen Vorschriften, in denen die Methoden und Verfahren der Zertifizierungsstellen beschrieben werden, vorgesehen sind. (4) Die Zertifizierungsstellen nach Absatz 1 sind unbeschadet der Verantwortung, die der Verantwortliche oder der Auftragsverarbeiter für die Einhaltung dieser Verordnung hat, für die angemessene Bewertung, die der Zertifizierung oder dem Widerruf einer Zertifizierung zugrunde liegt, verantwortlich. Die Akkreditierung wird für eine Höchstdauer von fünf Jahren erteilt und kann unter denselben Bedingungen verlängert werden, sofern die Zertifizierungsstelle die Anforderungen dieses Artikels erfüllt. (5) Die Zertifizierungsstellen nach Absatz 1 teilen den zuständigen Aufsichtsbehörden die Gründe für die Erteilung oder den Widerruf der beantragten Zertifizierung mit. (6) Die Zertifizierungsstellen nach Absatz 1 teilen den zuständigen Aufsichtsbehörden die Gründe für die Erteilung oder den Widerruf der beantragten Zertifizierung mit. (7) Unbeschadet des Kapitels VIII widerruft die zuständige Aufsichtsbehörde oder die nationale Akkreditierungsstelle die Akkreditierung einer Zertifizierungsstelle nach Absatz 1, wenn die Voraussetzungen für die Akkreditierung nicht oder nicht mehr erfüllt sind oder wenn eine Zertifizierungsstelle Maßnahmen ergreift, die nicht mit dieser Verordnung vereinbar sind. (8) Der Kommission wird die Befugnis übertragen, gemäß Artikel 92 delegierte Rechtsakte zu erlassen, um die Anforderungen festzulegen, die für die in Artikel 42 Absatz 1 genannten datenschutzspezifischen Zertifizierungsverfahren zu berücksichtigen sind. (9) Die Kommission kann Durchführungsrechtsakte erlassen, mit denen technische Standards für Zertifizierungsverfahren und Datenschutzsiegel und -prüfzeichen sowie Mechanismen zur Förderung und Anerkennung dieser Zertifizierungsverfahren und Datenschutzsiegel und -prüfzeichen festgelegt werden. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 93 Absatz 2 genannten Prüfverfahren erlassen. I. Erklärung der Rechtsnorm In Art. 43 werden die Aufgaben der Zertifizierungsstellen beschrieben. Die Zertifizierungsstellen können - unbeschadet der Zuständigkeit der Aufsichtsbehörden - Zertifizierungen erteilen oder verlängern. 31. Januar 2017 Seite 108 von 117

109 Sie müssen von der zuständigen Aufsichtsbehörde akkreditiert werden. Diese Akkreditierung setzt voraus, dass die Zertifizierungsstelle unabhängig ist und ihr Fachwissen nachgewiesen hat sich verpflichtet hat, die von der Aufsichtsbehörde vorgegebenen Kriterien einzuhalten Verfahren für die Erteilung, Überprüfung und den Widerruf von Zertifizierungen festgelegt hat Verfahren festgelegt hat, um Beschwerden nachzugehen ihre Aufgaben und Pflichten nicht zu Interessenskonflikten führen Eine Akkreditierung der Zertifizierungsstelle wird für eine Höchstdauer von 5 Jahren erteilt, kann dann aber verlängert werden, sofern die nötigen Anforderungen erfüllt sind. Die Zertifizierungsstelle teilt der zuständigen Aufsichtsbehörde die Gründe für eine Erteilung oder den Widerruf einer beantragten Zertifizierung mit. Die Kommission kann durch delegierte Rechtsakte festlegen, welche Anforderungen, technischen Standards und Mechanismen für Zertifizierungsverfahren vorausgesetzt werden. II. Empfehlung zur Umsetzung Bisher existieren noch keine Zertifizierungsstellen in Deutschland. Werden in Zukunft solche von der zuständigen Aufsichtsbehörde akkreditiert, können über diese Zertifizierungen nach Art. 42 erlangt werden. Dies bedeutet höchstwahrscheinlich, dass Zertifizierungen von Stellen wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI), diversen TÜVs u.ä., zumindest für Auftragsverarbeiter, wie den kommunalen Datenverarbeitungsverbünden und Stadtwerken, de facto notwendig werden könnten. Abschnitt 4 - Aufsichtsbehörden und Sanktionen gegen Kommunen (Artikel 51-84) I. Vorwort Zum Zeitpunkt der Erstellung dieses Leitfadens lag neben der EU-DSGVO ein Referentenentwurf des Bundesministeriums des Inneren vor. Dieser bezieht sich lediglich auf die Bundesbehörden, sowie öffentliche Stellen der Länder. Es kann zwar davon ausgegangen werden, dass das Gesetz auf Landesebene analog umgesetzt wird, die endgültige Umsetzung bleibt jedoch abzuwarten. Dies bedeutet außerdem, dass es wohl 16 verschiedene Landesgesetze und das Bundesgesetz geben wird. Bei deutlichen Unterscheidungen von der EU-DSGVO zum Bundesentwurf wird auf den bisherigen Bundesentwurf verwiesen, da eine Ländervariante ähnlich ausfallen könnte. Daher sind die nachfolgenden Verweise auf den Bundesreferentenentwurf nur eine mögliche Variante für das Landesgesetz und damit für die Kommunen und müssen mit Vorsicht behandelt werden. 31. Januar 2017 Seite 109 von 117

110 II. Konstruktion der Aufsichtsbehörden Zur Überwachung der Einhaltung der Datenschutzgrundverordnung bildet jeder Mitgliedsstaat eine oder mehrere unabhängige Behörden, sogenannte Aufsichtsbehörden. Dabei ist es den Mitgliedsstaaten zum größten Teil selbst überlassen, wie sie diese ausgestalten. Vorgeschrieben ist unter anderem die in Art. 51 EU-DSGVO geregelte Unabhängigkeit der Aufsichtsbehörden. Diese soll gewährleisten, dass keine Interessenskonflikte entstehen und die Aufsichtsbehörden frei von jeder Art der Beeinflussung ihren Aufgaben nachkommen können, um den bestmöglichen Schutz der personenbezogenen Daten zu sichern. Nach Artikel 52 Abs. 4 EU-DSGVO wird den Mitgliedsstaaten vorgeschrieben, die Aufsichtsbehörden mit personellen, technischen und finanziellen Ressourcen, Räumlichkeiten und Infrastruktur" auszustatten. Im Gegensatz zur gegenwärtigen Situation kann also davon ausgegangen werden, dass genügend Mittel zur Verfügung stehen, um eine sachgerechte und umfangreiche Aufgabenerfüllung der Aufsichtsbehörden sicherzustellen. Durch die umfangreichen Befugnisse und gesetzlich zugesagte, finanzielle und personelle Mittel, werden datenschutzbezogene Verstöße mit hoher Wahrscheinlichkeit stärker überprüft und verfolgt. Daher ist davon auszugehen, dass für Gemeinden ein erheblicher Mehraufwand in Bezug auf Datenschutz entstehen wird, um sich an die Regeln zu halten und Sanktionen zu vermeiden. Die Aufsichtsbehörden haben einen breiten Aufgabenkatalog. Als übergeordnete Aufgabe gehört, neben der Überwachung und der Durchsetzung der EU-DSGVO, auch der Schutz personenbezogener Daten dazu. Aus Artikel 57 ergeben sich für die Aufsichtsbehörden insbesondere folgende, für Gemeinden relevante Aufgaben: Beratung und Bereitstellung von Informationen anfragender Personen über deren Rechte Bereitstellung von digitalen und analogen Beschwerdeformularen Bearbeitung von Beschwerden III. Befugnisse der Aufsichtsbehörde Durch die DSGVO erhalten Aufsichtsbehörden weitere Befugnisse. Erstmals können sie Anordnungen gegenüber anderen Behörden erlassen (horizontale Weisungsbefugnis). Die Sanktionen lassen sich aus den Befugnissen der Aufsichtsbehörden in drei wesentliche Kategorien unterteilen: Untersuchungsbefugnisse, Abhilfebefugnisse und Genehmigungsbefugnisse. 1. Untersuchungsbefugnisse Die Untersuchungsbefugnisse werden in Artikel 58 Absatz 1 geregelt. Diese erlauben es der Aufsichtsbehörde alle relevanten Informationen sowie Zugang zu allen personenbezogenen 31. Januar 2017 Seite 110 von 117

111 Daten von den Verantwortlichen oder den Auftragsverarbeitern zu verlangen. Dies kann auch den Zugang zu Geschäftsräumen inklusive aller Datenverarbeitungsanlagen und - geräte beinhalten. Nach dem Referentenentwurf (Begründung zu 16) wird diese Befugnis auf Bundesebene insoweit beschränkt, dass angelehnt an 24 Abs. 4 S. 2 Nr. 2 BDSG entweder das Einverständnis des Verantwortlichen oder Auftragsverarbeiters vorliegen oder eine richterliche Anordnung bestehen muss und das Betreten der Grundstücke und Diensträume zur Abwehr einer gemeinen Gefahr oder einer Lebensgefahr für einzelne Personen, zur Verhütung der durch Datenschutzverstöße begründeten dringenden Gefahren für die öffentliche Sicherheit erforderlich sein muss. Inwieweit diese Bestimmung den Wesenskern der Verordnung verletzt, muss ggf. der EuGH klären. Da es nur ein Entwurf im Stellungnahmeverfahren ist, ist eine detaillierte Erörterung hier nicht tunlich. Wie die Informationen bereitgestellt werden müssen ist gesetzlich nicht geregelt. Daher ist jede erdenkliche Übermittlungsform denkbar. Des Weiteren sind die Aufsichtsbehörden ermächtigt, Datenschutzüberprüfungen sowie die Kontrolle der erteilten Zertifizierungen durchzuführen. Die Datenschutzgrundverordnung sieht bisher keinen zeitlichen Rahmen vor, weshalb diese wohl initiativ durchgeführt werden können. 2. Abhilfebefugnisse Werden durch die Untersuchungsbefugnisse Verstöße festgestellt, kommen die Abhilfebefugnisse nach Artikel 58 Abs. 2 zur Anwendung. Diese werden in drei verschiedene Stufen eingeteilt: 2.1 Verwarnungen Artikel 58 Abs. 2 lit. a und b bilden die erste Stufe, die sogenannten Verwarnungen, welche es den Aufsichtsbehörden gestatten, Auftragsverarbeiter oder Verantwortliche zu warnen, wenn geplante Vorgänge voraussichtlich gegen die Verordnung verstoßen. Dies soll ermöglichen, dass die Verantwortlichen zwar aufgezeigt bekommen, dass jetziges Verhalten gegen die Verordnung verstößt, sie aber noch die Möglichkeit haben, dieses zu berichtigen. Auch wenn bereits verstoßen wurde, können Verwarnungen ausgesprochen werden. Hierbei wird auf rechtswidriges Verhalten hingewiesen, gleichzeitig aber auch dargelegt wie dieses zukünftig rechtskonform gestaltet werden kann. Greift das Mittel der Verwarnung nicht, so wird die zweite Stufe der Abhilfebefugnisse eingeleitet. Bei unklaren Situationen kann die Aufsichtsbehörde auch kontaktiert werden. Das Konsultieren der Aufsichtsbehörde ist grundsätzlich gebührenfrei. Bei unbegründeten oder häufig wiederholten Anfragen kann die Aufsichtsbehörde eine angemessene Gebühr erheben oder sich weigern, tätig zu werden. Die Beweislast liegt hierbei bei der Aufsichtsbehörde. 2.2 Anweisungs- und Anordnungsbefugnis 31. Januar 2017 Seite 111 von 117

112 Die zweite Stufe wird als Anweisungs- und Anordnungsbefugnis bezeichnet. Diese wird gebildet aus lit. c, d, e, g und h. Anweisungen haben rechtsverbindlichen Charakter. Hierbei kann die Aufsichtsbehörde die Verantwortlichen schriftlich auffordern, bestimmtes rechtswidriges Verhalten zu unterlassen. Dies ermächtigt die Aufsichtsbehörden erstmalig in Deutschland, verbindliche Rechtsakte gegen die Behörden zu erlassen. So können Verantwortliche oder Auftragsverarbeiter angewiesen werden, Anträge betroffener Personen verordnungsgemäß zu bearbeiten. Außerdem können die Aufsichtsbehörden darauf bestehen, Verarbeitungsvorgänge inhaltlich und/oder in einem bestimmten Zeitraum mit der Verordnung in Einklang zu bringen. Weiterhin können die Verantwortlichen zur Benachrichtigung einer in ihren personenbezogenen Daten verletzen Person veranlasst werden. Des Weiteren kann von der Aufsichtsbehörde angeordnet werden, dass personenbezogene Daten berichtigt oder gelöscht werden oder die Verarbeitung in Entsprechung der Bestimmungen der Art. 16, 17 und 18 eingeschränkt wird. Die Aufsichtsbehörde kann die Zertifizierungsstelle anweisen, eine Zertifizierung zu widerrufen oder nicht zu erteilen, sollten die Voraussetzungen nicht oder nicht mehr vorliegen. 2.3 Sanktionsbefugnisse Die Sanktionsbefugnisse werden als die dritte Stufe festgelegt und sind in lit. f, h, i und j geregelt. Den Aufsichtsbehörden steht es dabei zu, Verarbeitungen zeitweise zu beschränken oder sogar dauerhaft zu verbieten. Ein dauerhaftes Verbot wäre für eine öffentliche Verwaltung nur schwer vorstellbar, da die vielfältigen gesetzlichen Aufgaben erfüllt werden müssen. In der Praxis ist wohl anzunehmen, dass Datenverarbeitungsvorgänge beschränkt werden, welche nicht für die pflichtgemäße Erfüllung von gesetzlichen Aufgaben zwingend notwendig sind. Die o.g. Zertifizierungen können auch von der Aufsichtsbehörde selbst widerrufen werden. Besonderes Augenmerk sollte auf Art 58 Abs. 2 lit i) gelegt werden. Dieser ermächtigt die Aufsichtsbehörde Geldbußen gemäß Artikel 83 zu verhängen. Diese sind nur reaktiver Natur. Damit soll ein Verstoß gegen die Verordnung bestraft werden. Außerdem können sie zusätzlich zu den bereits genannten Maßnahmen verhängt werden. Bei mehreren Verstößen wird nur das höchstmögliche Bußgeld verhängt. Ein Verbot zur Datenübermittlung an Drittländer oder internationale Organisationen kann ebenfalls verhängt werden. 31. Januar 2017 Seite 112 von 117

113 3. Genehmigungsbefugnisse Genehmigungs- und Beratungsbefugnisse der Aufsichtsbehörden werden in Art. 58 Abs. 3 geregelt. Die Aufsichtsbehörde berät vor allem den Verantwortlichen, wenn im Vorhinein klar ist, dass ein hohes Risiko bei der Datenverarbeitung entsteht (Art. 36). Es ist ihr generell gestattet Stellungnahmen in Bezug auf den Schutz personenbezogener Daten abzugeben. Diese können auf Anfrage oder aus Eigeninitiative an bestimmte Einrichtungen, wie zum Beispiel nationale Parlamente oder an die Öffentlichkeit, gerichtet werden. Sofern ein Mitgliedsstaat vorsieht, die Verarbeitung zur Erfüllung öffentlicher Interessen, der sozialen Sicherheit oder der öffentlichen Gesundheit genehmigungspflichtig vorzuschreiben, liegt die Vergabe der Genehmigung bei der Aufsichtsbehörde. Die Billigung von den nach Artikel 40 Absatz 5 durch Vereine und andere Vereinigungen aufgestellten Verhaltensregelungen obliegt genauso wie die Akkreditierung von Zertifizierungsstellen der Aufsichtsbehörde. Daneben erteilt die Aufsichtsbehörde Zertifizierungen und stellt Kriterien für diese auf. Darüber hinaus genehmigt die Aufsichtsbehörde sowohl Vertragsklauseln, Verwaltungsvereinbarungen als auch verbindliche interne Vorschriften und legt Standarddatenschutzklauseln fest. Die Aufsichtsbehörden werden weiterhin vom Mitgliedsstaat befugt, Verstöße gegen diese Verordnung den Justizbehörden mitzuteilen und dadurch ein gerichtliches Verfahren einzuleiten. Mitgliedsstaaten können über die oben genannten bzw. in Art 58 Abs. 1,2,3 aufgeführten Befugnisse hinaus weitere bestimmen. Diese dürfen die Durchführung von Kapitel VII nicht beeinträchtigen. VI. Zuständigkeit Nach Art. 55 Nr. 1 EU-DSGVO sind die Aufsichtsbehörden im Hoheitsgebiet ihres Mitgliedsstaates zuständig. Da es eine gesetzliche Umsetzung auf Landesebene geben wird, wird jedes Bundesland eine eigene Aufsichtsbehörde haben. Für Deutschland ergeben sich somit 17 verschiedene Aufsichtsbehörden. Dadurch könnten Konfliktsituationen entstehen, wenn beispielsweise der Verantwortliche und der Auftragsverarbeiter in unterschiedlichen Bundesländern ihre Niederlassung haben. Die Aufsichtsbehörde hat beispielsweise nach Art. 58 Nr. 1 a) die Befugnis, Informationen bei Verantwortlichen oder Auftragsverarbeiter zu verlangen. Somit könnte die baden-württembergische Aufsichtsbehörde von einem Auftragsverarbeiter in Bayern, der für eine Kommune in Baden-Württemberg tätig ist, die Informationen verlangen. Fraglich wäre dabei, ob dies dann nicht doch in den Zuständigkeitsbereich der bayrischen Aufsichtsbehörde fällt. Diese Problematik muss durch die Landesgesetzgeber geklärt werden. V. Rechtsbehelfe 31. Januar 2017 Seite 113 von 117

114 Den Rechtsschutz gegen rechtsverbindliche Beschlüsse der Aufsichtsbehörde regelt Artikel 78. So hat ein Verantwortlicher bzw. Auftragsverarbeiter das Recht zu klagen, wenn ein Beschluss der Aufsichtsbehörde ihn in seinen Rechten betrifft (Abs.1). Diese Befugnis gilt für natürliche und juristische Personen. Der Beschluss muss aber einen unmittelbar regelnden Charakter aufweisen. So fallen beispielsweise Verwarnungen und Anweisungen nach Art. 58 Abs. 2 Buchst. b-h und j sowie Genehmigungen gemäß Art. 58 Abs. 3 Buchst. c, d, e, f, h, i, j unter angreifbare Beschlüsse, Warnungen gemäß Art. 58 Abs. 2 allerdings nicht. Ebenfalls besteht das Recht zur Klage, wenn sich die Aufsichtsbehörde nicht mit einer Beschwerde des Betroffenen nach Art. 77 beschäftigt oder ihn nicht innerhalb von drei Monaten über den Stand oder das Ergebnis in Kenntnis setzt. Artikel 77 stellt das Recht auf Beschwerde für natürliche Personen vor. Dem Wortlaut nach sind deshalb Gemeinden oder andere juristische Personen nicht mit eingeschlossen. Jeder Person steht es demnach zu auch Beschwerde über eine Gemeinde bei einer Aufsichtsbehörde einzulegen, sofern diese Person Betroffener nach dieser Vorschrift ist. Nach Art. 4 Nr.1 ist Betroffener eine natürliche Person, deren Daten von einem Dritten verarbeitet werden, sodass diese identifiziert werden oder identifizierbar sind. Außerdem können betroffene Personen direkt Klage gegen den Verantwortlichen oder Auftragsverarbeiter einlegen (Art. 79 Abs.1). Wurde erfolgreich geklagt, so kann dem Beklagten der entstandene materielle und immaterielle Schaden zu Lasten gelegt werden (Art. 82). Nach Abs. 3 besteht dem Verantwortlichen bzw. Auftragsverarbeiter die Möglichkeit sich zu exkulpieren. VI. Bußgelder Die Datenschutzgrundverordnung beschreibt in Artikel 83 drei Verstoßkategorien, nach denen Bußgelder verhängt werden. Erste Kategorie Verstöße der ersten Kategorie (Art. 83 Abs.4) sind Verstöße gegen die Pflichten der Verantwortlichen (siehe Abschnitt 3). Ebenfalls fallen unter die erste Kategorie Verstöße gegen die Pflichten der Zertifizierungsstellen und Überwachungsstellen. Die Verstöße der ersten Kategorie enthalten Geldbußen bis zu 10 Mio. Euro oder, im Fall eines Unternehmens, bis zu 2 % des gesamten, weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres. Zweite Kategorie Bei Verstößen gegen die zweite Kategorie (Art. 83 Abs. 5) beläuft sich die Geldbuße auf bis zu 20 Mio. Euro bzw. 4 % des Jahresumsatzes des vorangegangenen Geschäftsjahres. Verstöße gegen die zweite Kategorie treten hauptsächlich ein bei nicht ordnungsgemäßer Durchführung der Grundsätze für die Verarbeitung (siehe Abschnitt 1) sowie bei dem Verstoß gegen die Rechte von betroffenen Personen (siehe Abschnitt 2). Außerdem fallen 31. Januar 2017 Seite 114 von 117

115 unter die zweite Kategorie Verstöße gegen die Übermittlung personenbezogener Daten an ein Drittland oder an eine internationale Organisation. Weiterhin ist die Nichtbefolgung einer Anweisung oder die Nichtgewährung des Zugangs für die Aufsichtsbehörde ebenfalls ein Vergehen zweiter Kategorie. Dritte Kategorie Nach der dritten Kategorie wird eine Geldbuße verhängt, wenn der Verantwortliche den Anweisungen der Aufsichtsbehörde (Art. 58 Abs.2 DSGVO) nicht folgt. Dies kann ebenfalls mit einem Bußgeld von bis zu 20 Mio. Euro und bei Unternehmen bis zu 4 Prozent des letzten Jahresumsatzes verhängt werden. Verstöße von Mitarbeitern unterliegen keiner Geldbuße, da in Artikel 83 nur Verantwortliche und Auftragsverarbeiter adressiert sind. Artikel 83 Abs. 7 eröffnet es den Mitgliedsstaaten, ob und in welchem Umfang diese Geldbußen gegen Behörden und öffentliche Stellen festlegen. Im derzeitigen Referentenentwurf sieht das Bundesministerium des Inneren auf Bundesebene vor, dass die mögliche Bußgeldhöhe, entsprechend 43 des Bundesdatenschutzgesetzes (BDSG), auf EUR ,00 beschränkt wird. Schon aus dem Grundsatz der Rechtmäßigkeit der Verwaltung wird in Deutschland davon ausgegangen, dass es selbstverständlich ist, den Datenschutz zu wahren. Wird allerdings klar, dass dem nicht so ist und die niedrig festgelegten Geldbußen nicht zur Abschreckung dienen, können Sanktionen wesentlich schärfer festgelegt werden. So werden die von der Datenschutzgrundverordnung vorgesehenen Geldbußen nicht in dieser Form angewendet, können aber der Orientierung für eine mögliche Verschärfung der Geldbußen angesehen werden. Der Referentenentwurf sieht vor, dass die Geldbußen entsprechend dem Ordnungswidrigkeitengesetz ( OwiG) verjähren. 31. Januar 2017 Seite 115 von 117

116 Liste der an der Erarbeitung des Handlungsleitfadens Beteiligten Dieser Handlungsleitfaden wurde unter der wissenschaftlichen Leitung von Prof. Dr. Robert Müller-Török durch folgende Arbeitsgruppe erstellt: Vorname und Name Organisation Patrick Blattner Sarah Brucker Marius Dietrich Robert Geist Ralf Hekenberger Verena Kost Dirk-Bastian Lorenz Constantin Mitschelen Matthias Müller Prof. Dr. Robert Müller-Török Dana-Maria Pahnke Prof. Dr. Arne Pautsch Hubert Röder Christian Schönig Nikolai Wörner Hochschule öffentliche Verwaltung und Finanzen Hochschule öffentliche Verwaltung und Finanzen Hochschule öffentliche Verwaltung und Finanzen Hochschule öffentliche Verwaltung und Finanzen Datenzentrale Baden-Württemberg Fachbereichsleiter Landesprodukte und Dienstleistungen (PMO) Hochschule öffentliche Verwaltung und Finanzen Hochschule öffentliche Verwaltung und Finanzen Hochschule öffentliche Verwaltung und Finanzen Hochschule öffentliche Verwaltung und Finanzen Hochschule öffentliche Verwaltung und Finanzen Hochschule öffentliche Verwaltung und Finanzen Hochschule öffentliche Verwaltung und Finanzen KDRS/RZRS Datenschutzbeauftragter Hochschule öffentliche Verwaltung und Finanzen Hochschule öffentliche Verwaltung und Finanzen 31. Januar 2017 Seite 116 von 117

117 Glossar / Abkürzungsverzeichnis / Anlagen Abkürzungen Anonymisierung eidas Profiling Pseudonymisierung RZRS GmbH XMeld ZV KDRS Erläuterung Nachhaltiges Entfernen jedes Personenbezugs der Daten. Anonymisierte Daten lassen sich nicht mehr zu einer Person zuordnen. Beispiel ist das Einwerfen des Umschlages mit dem Stimmzettel in eine Wahlurne. Electronic identification and trust services, elektronische Identitäts- und Vertrauensdienste. Die Verordnung (EU) Nr. 910/2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG wird auch als eidsa-verordnung bezeichnet. Anwendung von Algorithmen bzw. mathematischen Verfahren zur Erkennung von Mustern und Beziehungen in großen Datenmengen. Profiling im Datenschutzsinn bedeutet diese Anwendung mit dem Ziel, Personen bzw. Personengruppen aufzufinden bzw. zu identifizieren. Verschlüsseln bzw. Verbergen des Personenbezugs. Dieser lässt sich aber prinzipiell wieder herstellen. Beispiel wäre die Vergabe eines Autokennzeichens, wo sich der Bezug zum Fahrzeughalter im Bedarfsfall, bspw. bei Anfrage einer Behörde, herstellen lässt. Rechenzentrum Region Stuttgart GmbH OSCI-XMeld ist ein auf XML basierender Fachstandard zum Datenaustausch zwischen deutschen Meldebehörden, siehe (per ) Zweckverband Kommunale Datenverarbeitung Region Stuttgart Anlagen: Anlage 1 Muster einer Risikoanalyse Anlage 2 Muster eines Verarbeitungsauftrages Anlage 3 Muster eines Verfahrensverzeichnisses Anlage 4 Whitepaper Datenschutzfolgenabschätzung 31. Januar 2017 Seite 117 von 117

118 Beispiel einer Risikoanalyse Risiko/Gefahr Eintrittswahrscheinlichkeit Gefährdungsotenzial Gegenmaßnahmen Kommentar klein mittel groß klein mittel groß Höhere Gewalt Naturkatastrophen x x Wasser x x Feuer x x Ausfall oder Störung der Stromversorgung x x Hauseigener Notstromagregat Ausfall oder Störung von Kommunikationsnetzen x x Ausfall oder Störung von Dienstleistern x x Ausfall oder Störung von Versorgungsnetzen x x. Organisatorische Mängel x x Stichprobenartige Kontrolle über die Unzureichende Kontrolle der Sicherheitsmaßnahmen Einhaltung der Sicherheitsbestimmungen Dokumentation welcher MA x x Ungeregelte Weitergabe von Datenträgern welchen Datenträger besitzt Mangelhafte Organisation des Wechsels zwischen den Benutzern x x Fehlende oder unzureichende Dokumentation x x Automatische Dokumentation im System Ungesicherter Akten- oder Datenträgertransport x x.. Menschliche Fehlhandlungen Verlust von Geräten, Datenträgern, Dokumenten x x Verschlüsselung aller Datenträger Nichtbeachtung von Sicherheitsmaßnahmen x x Unerlaubte private Nutzung des Rechners x x Sperrliste für Internetseite erstellen Sorglosigkeit im Umgang mit Informationen x x Technisches Versagen Ausfall von Geräten oder Systemen x x Verlust gespeicherter Daten x x tägliche Backups

119 Defekte Datenträger x x Mind. 1 Kopie pro Datenträger erstellen Überlastung von Informationssystemen x x Ausfall einer Datenbank x x tägliche Backups Ausfall eines Kryptomoduls x x. Vorsätzliche Handlungen Manipulation oder Zerstörung von Geräten x x Manipulation an Informationen oder Software x x Diebstahl x x Unbefugtes Eindringen in ein Gebäude x x Abhören von Telefongesprächen x x Schadprogramme x x Sabotage x x Missbrauch von Benutzerrechten x x Unbefugtes Kopieren der Datenträgern x x

120 Art. 32 EU-DSGVO Sicherheit der Verarbeitung (1) Unter Berücksichtigung des Stands der Technik der Implementierungskosten der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein: a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten; b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. (2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch ob unbeabsichtigt oder unrechtmäßig Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden (3) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen. (4) Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet Hinweis: Um alle denkbaren Risiken einzubeziehen, nehmen Sie bei der Bewertung alle Risiken, die das BSI aufgelistet hat. Die Gefährdungskataloge G0 - Elementare Gefährdungen G1 - Höhere Gewalt G2 - Organisatorische Mängel G3 - Menschliche Fehlhandlungen G4 - Technisches Versagen G5 - Vorsätzliche Handlungen bilden einen vollständigen Rahmen für Ihre Risikobewertung, so dass nur noch wenige individuelle Risiken unberücksichtigt bleiben

121 Auftrag nach Paragraph 7 Landesdatenschutzgesetz Gemeindeverwaltung Musterhausen, Rathausplatz 1 Datum: xx.xx.2017 An den Zweckverband Kommunale Datenverarbeitung Region Stuttgart Krailenshaldenstr Stuttgart An die Rechenzentrum Region Stuttart GmbH Krailenshaldenstr Stuttgart Auftragserteilung nach Paragraph 7 Landesdatenschutzgesetz Nach 7 Landesdatenschutzgesetz (LDSG) ) beauftragt das Standesamt xxx Stadtverwaltung/Gemeinde Musterhausen, den Zweckverband Kommunale Datenverarbeitung Region Stuttgart und die Rechenzentrum Region Stuttart GmbH, die im Rahmen des Gesamt-Verfahrens! " #$ % anfallenden terminbezogenen und periodischen Verarbeitungen unserer Datenbestände nach den Regeln der Verfahren sowie der personenstandsrechtlichen Bestimmungen vorzunehmen. KDRS/ RZRS Datenverarbeitungsauftrag nach 7 LDSG

122 Zur genaueren Ausgestaltung des Auftrags werden folgende Einzelregelungen getroffen: I Gegenstand und Dauer Gegenstand der Datenverarbeitung für das/die o.a. Verfahren ist die im Leistungskatalog bzw. in der Produktbeschreibung der angebotenen Verfahren für das jeweilige Verfahren dargestellt und beschrieben (siehe auch Anlage 1). Dieser Datenverarbeitungsauftrag wird für jeweils ein Kalenderjahr erteilt, soweit vertraglich keine anderen Fristen bereits festgelegt wurden. Wird dieser Auftrag nicht fristgerecht gekündigt, so verlängert er sich um ein weiteres Kalenderjahr. II Umfang der Datenverarbeitung Unter die terminbezogenen und periodischen Verarbeitungen (Umfang) fallen die Phasen und Schritte der Datenverarbeitung, die im Leistungskatalog bzw. in der Produktbeschreibung der angebotenen Verfahren für das jeweilige Verfahren dargestellt und beschrieben sind (Anlage 1). Die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung und Nutzung, die Art der Daten, der Kreis der Betroffenen sind in der Verfahrensverzeichnismeldung ( 11 LDSG) zu dvv.standesamt AutiSta/ePR beschrieben (Anlage 7). Sonderaufträge und im Leistungskatalog der angebotenen Verfahren nicht dargestellte Verarbeitungsschritte werden jeweils gesondert schriftlich mit Gegenstand und Umfang erteilt. III Technische und organisatorische Massnahmen Für die Massnahmen zum Datenschutz und zur Datensicherung gelten die Bestimmungen des Landesdatenschutzgesetzes für Baden-Württemberg, des Bundesdatenschutzgesetzes und der geltenden spezialgesetzlichen Regelungen - insbesondere des Personenstandsgesetzes (PStG) sowie der Personenstandsverordnung (PStV) - entsprechend deren Anwendbarkeit auf den Auftraggeber. Für die Durchführung der Verarbeitung sind die Festsetzungen der technischen und organisatorischen Maßnahmen bindend, die die Rechenzentrum Region Stuttgart GmbH in Erfüllung der Forderungen aus 9 Landesdatenschutzgesetz erstellt und in ihrer jeweils gültigen Fassung im Leistungskatalog / Intranet veröffentlicht hat (Anlage 2). Die Mitarbeiterinnen und Mitarbeiter des Zweckverbandes Kommunale Datenverarbeitung Region Stuttgart und der Rechenzentrum Region Stuttgart GmbH sind auf die Wahrung des Datengeheimnisses zu verpflichten. KDRS/ RZRS Datenverarbeitungsauftrag nach 7 LDSG

123 IV Berichtigung und Löschung Die Termine für die Löschung personenbezogener Daten sind in der Verfahrensverzeichnismeldung ( 11 LDSG) beschrieben und werden entsprechend der im Leistungskatalog bzw. in der Produktbeschreibung der angebotenen Verfahren für das jeweilige Verfahren dargestellten Verarbeitungsläufen umgesetzt. Dies gilt auch insbesondere für die Löschung der Zugriffsprotokolle gem Par. 64 Abs. 3 PStV. Für Daten des epr, des Sicherungsregisters sowie ggf. der esammelakte finden nach Ablauf der Fortführungsfristen des Par. 5 Abs. 5 PStG die einschlägigen Bestimmungen des Personstandsgesetzes Anwendung. Auftragsberichtigungen werden, soweit nicht im Dialog eigenständig durchführbar, als Sonderauftrag schriftlich mit Gegenstand und Umfang erteilt. V Pflichten des Auftragnehmers Der Auftragnehmer hat die Durchführung der ihm aus diesem Vertrag erwachsenden Pflichten regelmässig zu kontrollieren; insbesondere die Verpflichtung aller Mitarbeiter auf das Datengeheimnis das Vorhandensein und Wirken der getroffenen technischen und organisatorischen Massnahmen die Bestellung eines behördlichen/betrieblichen Datenschutzbeauftragten die ordnungsgemässe Erteilung von Auskünften an die Aufsichtsbehörde die Nachfolge von Massnahmen und Anordnungen der Aufsichtsbehörden nur die befugte Datenverarbeitung oder Abrufbereithaltung oder Beschaffung die Information des Auftraggebers über wesentliche Änderungen VI Unterauftragsverhältnisse Der Auftraggeber erteilt sein Einverständnis, dass der Zweckverband Kommunale Datenverarbeitung Region Stuttgart und die Rechenzentrum Region Stuttgart GmbH zur Erledigung der im Rahmen des Auftrags übertragenen Datenverarbeitung Unterauftragnehmer mit einzelnen Arbeiten betraut. Für die Auswahl aller Unterauftragnehmer gelten für die einzuhaltenden Datensicherungsmaßnahmen diejenigen Bestimmungen, die den Datensicherungsmaßnahmen im Verhältnis Auftraggeber zum Auftragnehmer entsprechen. Bestehende Unterauftragsverhältnisse werden im Leistungskatalog / Intranet nachgewiesen; neue Unterauftragsverhältnisse werden als Änderung/Ergänzung dieses Kataloges mitgeteilt (Anlage 3). VII Kontrollrechte des Auftraggebers KDRS/ RZRS Datenverarbeitungsauftrag nach 7 LDSG

124 Der Auftraggeber hat jederzeit ein Recht, die Einhaltung der Bestimmungen dieses Auftrages zu kontrollieren. Die Verpflichtung des Auftraggebers, sich regelmässig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Massnahmen zu überzeugen, wird einem unabhängigen Dritten (Bundesamt für Sicherheit in der Informationstechnik) übertragen, das Ergebnis wird mitgeteilt. VIII Mitteilung von Datenschutz- und Auftragsverstössen Der Auftragnehmer hat die Pflicht, Verstösse gegen die Einhaltung der Bestimmungen dieses Auftrages oder Verstösse gegen die Vorschriften zum Schutz personenbezogener Daten durch bei ihm beschäftigte Personen und Erfüllungsgehilfen dem Auftraggeber in geeigneter Weise mitzuteilen. IX Umfang der Weisungsbefugnisse Der Auftraggeber hat jederzeit ein Recht, dem Auftragnehmer hinsichtlich der Verarbeitung personenbezogener Daten Weisungen zu erteilen. Ist der Auftragnehmer der Ansicht, dass der Auftrag, einzelne Bestimmungen des Auftrags oder eine Weisung des Auftraggebers gegen dieses Gesetz oder andere Vorschriften über den Datenschutz verstoßen, hat er den Auftraggeber unverzüglich darauf hinzuweisen. X Rückgabe und Löschung der Daten nach Auftragsbeendigung Nach Beendigung des Datenverarbeitungsauftrages sind die Daten in vollem Umfang an den Auftraggeber zurückzugeben; in Abstimmung mit ihm sind die Daten anschliessend nach Freigabe durch den Auftraggeber unwiederbringlich zu löschen. Gesetzliche Aufbewahrungs- und Dokumentationspflichten bleiben hiervon unberührt und sind gesondert zu vergüten. XI Auftragsbedingungen Die Benutzungsordnung des Zweckverbandes Kommunale Datenverarbeitung Region Stuttgart (Anlage 4) und die Allgemeinen Geschäftsbedingungen (AGB) einschließlich Benutzungsregeln der Rechenzentrum Region Stuttgart GmbH in ihrer jeweils gültigen Fassung (Anlage 5) sind Bestandteil dieses Auftrages. Musterhausen, KDRS/ RZRS Datenverarbeitungsauftrag nach 7 LDSG

125 (Ort, Datum) (Unterschrift) Leiter des Standesamts Anlagen: Produktbeschreibung im Leistungskatalog (Anlage 1) Festsetzungen der technischen und organisatorischen Maßnahmen (Anlage 2) Bestehende Unterauftragsverhältnisse (Anlage 3) Benutzungsordnung des Zweckverbandes Kommunale Datenverarbeitung Region Stuttgart (Anlage 4) Allgemeine Geschäftsbedingungen der Rechenzentrum Region Stuttgart GmbH (Anlage 5) Betriebs- und Sicherheitskonzept epr (Anlage 6) Verfahrensverzeichnis dvv.standesamt (Anlage 7) KDRS/ RZRS Datenverarbeitungsauftrag nach 7 LDSG

126 Verfahrensverzeichnis nach 11 Landesdatenschutzgesetz ( ) Aktenzeichen: Lfd.-Nummer: Datum Erstmalige Erstellung: Verfahrensänderung: 1. Name und Anschrift der verantwortlichen Stelle Name: Gemeindeschlüssel: Straße: PLZ und Ort: Falls eine externe Stelle für den Datenschutz zuständig ist: Name: Straße / PLZ und Ort: Zuständige Person (Auskunft): Telefon: Abteilung Anmerkung: Nutzen Sie zum Ausfüllen dieses Formulars die Sprungtaste F11!

127 2. Bezeichnung des Verfahrens (nicht nur Kurzform) Dvv.Standesamt Autista / elektronisches Personenstandsregister epr 3. Zweckbestimmung und Rechtsgrundlage der Verarbeitung Einzelaufgaben für deren Erledigung die Daten benötigt werden Führung des Personenstandsregisters Rechtsgrundlage Vorschrift Personenstandsgesetz, BGBl. Personenstandsverordnung Fundstelle Beweissicherung der Eintragungen Signaturgesetz BGBl. des Personenstandsregisters Signaturverordnung BGBl. Personenstandsgesetz, Personenstandsverordnung BGBl. 4. Art der gespeicherten Daten Lfd. Nr. Bezeichnung der Daten (Es reichen aussagekräftige Oberbegriffe, z.b. Namen, Anschriften, Geburtsdatum. Keine Feldnummern des Datensatzes angeben!) 1 Geburtenregister 2 Eheregister 3 Sterberegister 4 Lebenspartnerschaftsregister 1-n Siehe Anlage Meldung Datenschutzregister Autista 1-n Siehe Anlage Meldung Datenschutzregister Autista - epr - Schnittstelle

128 5. Kreis der Betroffenen Lfd.-Nr. Wesentliche Tatbestandsmerkmale 1-n Geburten, Eheschließungen, Begründung von Lebenspartnerschaften, Sterbefälle natürlicher Personen 6. Datenempfänger und jeweilige Datenarten Hier sind Angaben nur zu machen, wenn eine der folgenden Verarbeitungsschritte im automatisierten Verfahren vorgesehen ist: a) Daten werden an Dritte übermittelt ( 3, Abs. 5) b) Daten werden in der öffentl. Stelle außerhalb des ursprünglichen Zweckes genutzt c) Daten werden im Auftrag verarbeitet ( 7) d) Geplante Datenübermittlung an Drittländer ( 32) Lfd.-Nr. aus Gruppe 4 Empfänger / Empfängergruppe Aufgabe, zu deren Erfüllung die Daten übermittelt werden 1 4 Beurkundendes Standesamt Auskunft an berechtigte Dritte 1 4 Standesämter Eltern PStG 1 4 Statistisches Landesamt 61 PStV 1 Vormundschaftsgericht 57 PStV 1 Jugendamt 57 PStV 1 Familiengericht 57 PStV 3 Zentrales Testamentsregister 78c Bundesnotarordnung 1 4 Meldebehörden Führung Melderegister Übermittlung der Daten an andere Standesämter und Behörden erfolgt elektronisch und in Papierform. 7. Fristen der Sperrung und Löschung Lfd.-Nr. Daten Datengruppe Fristen / Datum für die Prüfung, ob Daten gesperrt oder gelöscht werden sollen Frist / Datum Sperrung Löschung 1-n epersonenstandsregister

129 - Geburten 110 Jahre - Eheschließungen 80 Jahre - Lebenspartnerschaften 80 Jahre - Sterbefälle 30 Jahre 1-n Autista 2 Monate Nach Bearbeitungsende Bzw. Abschluss der Beurkundung 8. Zugriffsberechtigte Personen und Personengruppen Personengruppen, die innerhalb der öffentlichen Stelle automatisiert verarbeiten und / oder nutzen (z.b. im Meldewesen einer kreisfreien Stadt: Nutzungsberechtigt: Meldesachbearbeiter, teilnutzungsberechtigt: Sozialsachbearbeiter, Wohngeldsachbearbeiter, KFZ-Zulassungsstelle,...) Es sind auch die Personen zu benennen, die Daten im Rahmen eines automatisierten Abrufverfahrens nach 8 über Endgeräte abrufen können. Lfd.- Nr. Name / Personengruppe Abteilung / Amt Funktion / Aufgabe Berechtigungen 1-n Standesbeamte und Stufe A gem. 14 PStV Mitarbeiter im Standesamt Stufe B gem. 14 PStV Stufe C gem. 14 PStV Stufe D gem. 14 PStV 1-n Fachaufsicht des Landratsamtes Stufe C gem. 4a AGPStG-BW 9. Beschreibung der Hardware /Vernetzung / Software Die technische Infrastruktur umfasst sowohl die vorhandene Hardware (Rechner, Endgeräte, usw.), die eingesetzte Systemsoftware und die Anwendungsprogramme, als auch die Angabe des Netzwerkes, bzw. der Leitungen, über welche von automatisierten Verfahren personenbezogene Daten transportiert werden. Hardware:

130 Handelsüblicher Client, Kartenlesegerät für elektronische Signatur Systemsoftware: Windows Anwendungssoftware: Fachverfahren Autista des Verlages für Standesamtswesen, Frankfurt/M. Netzwerk / Leitungen: KVN Hardware im Rechenzentrum: Virtuelle Serverfarm der KomIT URS Systemsoftware im Rechenzentrum: Linux Anwendungssoftware im Rechenzentrum: Verfahren AutiSta mit epr-server der Verlag für Standesamtswesen GmbH 10. Technische und organisatorische Maßnahmen nach 9 LDSG Hier sind die Datensicherungsmaßnahmen anzugeben, die aufgrund des Datensicherungkonzepts ( 9) getroffen worden sind. Lfd.-Nr. Maßnahmen vor Ort 10.1 Zutrittskontrolle: Vom Standesamt organisatorisch wie folgt geregelt: 10.2 Datenträgerkontrolle:

131 Datenträger werden nicht beschrieben Speicherkontrolle: Eine Speicherung vor Ort erfolgt nicht Benutzerkontrolle: Nur registrierte Benutzer können sich an AutiSta nach Eingabe eines Passwortes anmelden; Passwortkonventionen werden erzwungen. Die Berechtigungen der einzelnen Benutzer werden in der Benutzerverwaltung dokumentiert und nach erfolgreicher Anmeldung dem Benutzer durch das Verfahren zugeordnet Zugriffskontrolle: Administratorberechtigungen werden durch eine eigene Benutzerrolle in der Benutzerverwaltung AutiSta zugeordnet. Verantwortlich für die Vergabe von Berechtigungsstufen im Standesamt ist die Amtsleitung Übermittlungskontrolle: Übermittlungen an andere Standesämter und Behörden erfolgen in Papierform und elektronisch Eingabekontrolle: Die Revision der durch AutiSta verarbeiteten Daten ist durch den Ausdruck der Urkunden gegeben Auftragskontrolle: Das Standesamt führt die Datenverarbeitung selbst durch Transportkontrolle: Versendungen auf dem Postweg erfolgen gemäß der DA Poststelle Verfügbarkeitskontrolle: Die Verfügbarkeit des Systems ist durch die lokale Administration sicherzustellen Organisationskontrolle: Im Standesamt wurden folgende organisatorische Maßnahmen zur Einhaltung des Datenschutzes getroffen: Der Katalog der technischen u. organisatorischen Maßnahmen zur Datensicherung nach 9 LDSG des Rechenzentrums wird aktuell unter Infoportal/get/962603/KomIt_URS_Datenschutzmassnahmen.pdf dokumentiert. 11. Sonstige Angaben / Hinweise

132 Angaben hierfür sind nicht gesetzlich vorgeschrieben; sie sind optional. Sie sollen eine Möglichkeit für die weitere interne Nutzung dieses Verzeichnissen offen lassen. Die öffentliche Stelle macht die Punkte 1 7 dieses Verfahrensverzeichnisses auf Antrag jedermann in geeigneter Weise verfügbar. Verfasser (im Klartext): Datum / Unterschrift (Verfasser)

133 FORUM PRIVATHEIT UND SELBSTBESTIMMTES LEBEN IN DER DIGITALEN WELT White Paper DATENSCHUTZ-FOLGENABSCHÄTZUNG Ein Werkzeug für einen besseren Datenschutz

134

135 White Paper DATENSCHUTZ-FOLGENABSCHÄTZUNG Ein Werkzeug für einen besseren Datenschutz Autorinnen und Autoren: Michael Friedewald 1, Hannah Obersteller 2, Maxi Nebel 3, Felix Bieker 2, Martin Rost 2 (1) Fraunhofer-Institut für System- und Innovationsforschung ISI, Karlsruhe (2) Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD), Kiel (3) Universität Kassel, Institut für Wirtschaftsrecht Herausgeber: Peter Zoche, Regina Ammicht Quinn, Michael Friedewald, Marit Hansen, Jessica Heesen, Thomas Hess, Jörn Lamla, Christian Matt, Alexander Roßnagel, Sabine Trepte, Michael Waidner

136

137 Inhalt 1 Einleitung Datenschutz-Folgenabschätzungen Entwicklung und gegenwärtige Praxis Begriffsbestimmung Folgenabschätzungen in den Bundes- und Landes-gesetzen Deutschlands Angelsächsischer Rechtsraum PIA in der Europäischen Union Großbritannien: Der Privacy Impact Assessment Code of Practice des Information Commissioner s Office Frankreich: Das Privacy Impact Assessment der Commission Nationale de l Informatique et des Libertés EU-Rahmen für Datenschutz-Folgenabschätzungen bei RFID-Anwendungen und Smart Meters Cloud Computing Datenschutz-Folgenabschätzungen in der EU-Datenschutz- Grundverordnung Gründe für die Durchführung einer Datenschutz- Folgenabschätzung Anforderungen an eine Datenschutz-Folgenabschätzung Risikoansatz vs. Grundrechtsgewährleistung Elemente eines Prozesses zur Datenschutz-Folgenabschätzung Vorbereitungsphase Relevanzschwelle Prüfplanung Was wird betrachtet? Wer sind die beteiligten Akteure? Identifikation der maßgeblichen Rechtsgrundlagen Dokumentation der Problem- und Aufgabendefinition Bewertungsphase Identifikation von Schutzzielen Identifikation von möglichen Angreifern, Angriffsmotiven und -zielen Identifikation von Bewertungskriterien und -maßstäben Bewertung des Risikos Bewertungsphase ein alternatives Verfahren für wissenschaftliche Datenschutz-Folgenabschätzungen Schutzmaßnahmen, Veröffentlichung und Überprüfung Identifikation und Implementierung passender Schutzmaßnahmen Dokumentation und Veröffentlichung des Ergebnisberichts Unabhängige Prüfung der Prüfergebnisse Überwachung und Fortschreibung Diskussion Was kann eine Datenschutz-Folgenabschätzung leisten? 34 Anmerkungen Abkürzungsverzeichnis White Paper Datenschutz-Folgenabschätzung 3 44

138

139 1 Einleitung Einleitung Wir leben in einer zunehmend digitalisierten und vernetzten Welt. Viele privatwirtschaftliche und staatliche Angebote werden durch Angebote im Internet ergänzt oder gar ersetzt. Diese Angebote gehen überwiegend mit der Sammlung personenbezogener Daten einher. Die Spielregeln hierfür definieren vor allem die anbietenden Organisationen, während die Nutzer * meist nur entscheiden können, ob sie die Angebote nach diesen Regeln oder gar nicht nutzen wollen. Technik, mit der die Sammlung und Auswertung von Daten automatisiert und über breitbandige Netzwerke in alle Welt übermittelt werden kann, hat diese Machtasymmetrie weiter verstärkt. Dieser Zusammenhang und die Auswirkungen auf die Privatheit und Grundrechte sind den meisten Bürgern meist nur schemenhaft bewusst, obwohl die Medien bereits seit Jahren über Datenpannen und staatliche Überwachung berichten. 1 Der Datenschutz thematisiert diese Machtasymmetrie zwischen Organisationen und Individuen und hat die Aufgabe, die Betroffenenrechte zu gewährleisten. Dabei wird zunächst jede Organisation als potenzieller Angreifer 2 auf die Rechte des Individuums als strukturell schwächeren Risikonehmer betrachtet, dessen faktisch notorische Übergriffe abgewehrt werden müssen. 3 Definition: Eine Datenschutz-Folgenabschätzung (DSFA) ist ein Instrument, um das Risiko zu erkennen und zu bewerten, das für das Individuum in dessen unterschiedlichen Rollen (als Bürger, Kunde, Patient etc.) durch den Einsatz einer bestimmten Technologie oder eines Systems durch eine Organisation entsteht. Ziel einer DSFA ist es, Kriterien des operationalisierten Grundrechtsschutzes zu definieren, die Folgen von Datenverarbeitungspraktiken möglichst umfassend zu erfassen sowie objektiv und nachvollziehbar mit Blick auf die verschiedenen Rollen und damit verbundenen Interessen so zu bewerten, dass typischen Angriffen durch Organisationen mit adäquaten Gegenmaßnahmen begegnet werden kann. Dass eine Folgenabschätzung vor dem Einsatz einer bestimmten Technologie, oder gar vor deren Entwicklung, sinnvoll ist, hat sich seit den 1960er Jahren unter dem Begriff der Technikfolgenabschätzung (TA) weitgehend durchgesetzt allerdings zunächst vor allem mit Blick auf Folgen für Gesundheit und Umwelt. Die Ausweitung auf Fragen des Datenschutzes hat erst sehr viel später begonnen. Im Rahmen der Reform der Datenschutzvorschriften in der EU wurde die Idee aufgegriffen, Technikfolgen auch für das Recht auf Achtung des Privatlebens (Art. 7 Charta der Grundrechte der Europäischen Union; Charta) und den Schutz personenbezogener Daten (Art. 8 Charta) abzuschätzen. So wird es mit der Anwendbarkeit (Mai 2018) der Vorschriften der europäischen Datenschutz-Grundverordnung (DS-GVO) 4 unter bestimmten Bedingungen verpflichtend sein, eine DSFA durchzuführen. Der Text der DS-GVO lässt freilich weitgehend offen, wie und nach welchen Kriterien eine solche DSFA durchzuführen ist. Es ist zu erwarten, dass nach Verabschiedung der DS-GVO rasch Modelle für die Durchführung einer DSFA vorgelegt werden. Dabei wird voraussichtlich auf Vorschläge zurückgegriffen werden, die in den vergangenen Jahren * Aus Gründen der Lesbarkeit wird im Folgenden auf das Gendern von Personengruppen verzichtet. Die Verwendung des generischen Maskulinums schließt ausdrücklich alle Geschlechterformen mit ein. White Paper Datenschutz-Folgenabschätzung 5 44

140 Einleitung in verschiedenen EU-Mitgliedstaaten, von staatlichen wie privatwirtschaftlichen Akteuren, für spezielle Datenverarbeitungen entwickelt wurden. Mit diesem White Paper soll eine erste grundlegende Information für alle Akteure bereitgestellt werden, die sich in Kürze aus unterschiedlicher Perspektive mit dem Thema DSFA beschäftigen müssen: Politische Entscheider und Datenschutzbehörden sind gefordert zu definieren, welche Anforderungen an einen DSFA-Prozess gestellt werden. Datenschutzbehörden und Datenschutzbeauftrage müssen sich damit auseinandersetzen, wie das neue Instrument in ihre tägliche Arbeit integriert und produktiv für den Schutz der Betroffenen eingesetzt werden kann. Forscher, Komponentenentwickler, Systemaggregatoren sowie Datenverarbeiter müssen sich Klarheit darüber verschaffen, welche neuen Anforderungen auf sie zukommen, wie sie diesen gerecht werden können und wie sie ihre Tätigkeit ggf. ändern müssen. Es soll dabei dafür geworben werden, die DSFA nicht nur als gesetzlich vorgeschriebene Pflichtaufgabe zu verstehen, derer man sich mit möglichst geringem Aufwand entledigt. Sie soll vielmehr als Instrument vorgestellt werden, das hilft, ungewollte Datenschutzrisiken zu erkennen und im Sinne von Privacy by Design zu vermeiden. Damit können Organisationen nicht nur sicher sein, alle rechtlichen Anforderungen zu erfüllen, sondern auch damit werben, aktiv und nachvollziehbar die Interessen der Betroffenen zu schützen. Über eine Zertifizierung oder ein Datenschutzsiegel kann sich dies zu einem Wettbewerbsvorteil entwickeln Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt

141 2 Datenschutz-Folgenabschätzungen Entwicklung und gegenwärtige Praxis Datenschutz- Folgenabschätzungen Entwicklung und gegenwärtige Praxis Mit dem Fortschritt insbesondere elektronischer Datenverarbeitungstechnologien und dem Aufkommen immer größerer Mengen personenbezogener Daten hat sich bereits seit frühester Zeit die Frage gestellt, wie die Folgen, die diese Technisierung auf die Persönlichkeitsrechte der Betroffenen und anderer Verfassungsziele wie Demokratie und Gewaltenteilung hat, systematisch analysiert und entsprechende Handlungsmaßnahmen ergriffen werden können. Hierzu werden sogenannte Folgenabschätzungen durchgeführt. Auch einige Rechtsordnungen haben sich in der Vergangenheit bereits mit dieser Frage beschäftigt. Der folgende Abschnitt erläutert kurz die Unterschiede der verschiedenen Begriffe sowie die Anfänge und Ausprägungen der sogenannten Privacy Impact Assessments (PIA) und Folgenabschätzungen. 2.1 Begriffsbestimmung Folgenabschätzungen blicken auf eine lange Geschichte zurück. Erste Anfänge lassen sich bereits in den 1960er Jahren ausmachen, als Technologien zunehmend komplex wurden und damit potenzielle negative Auswirkungen auf Umwelt und Gesellschaft stiegen. Im Bereich der Informations- und Kommunikationstechnologien finden sich vorrangig die Begriffe Technikfolgenabschätzung, Datenschutz-Folgenabschätzung und Privacy Impact Assessment. Technikfolgenabschätzung ist eine Wissenschaftsdisziplin, die sich mit dem wissenschaftlich-technischen Fortschritt und dessen Folgewirkungen auf die Gesellschaft und das Recht beschäftigt. Technikfolgenabschätzung hat eine zukunftsorientierte Technikanalyse und -bewertung zum Gegenstand. 5 Die Chancen und Risiken der Technik für die Gesellschaft sowie deren Akzeptanz werden unter einem ganzheitlichen und damit interdisziplinären Winkel erforscht und zum Beispiel durch verfassungs-, sozial-, oder umweltverträgliche Technikgestaltung methodisch gesteuert, so dass zum einen technische Sachzwänge vermieden, aber auch kumulative Folgewirkungen besser abgeschätzt werden können. 6 Bereits in den 1970er Jahren wurde Technikfolgenabschätzung in parlamentarischen Beratungsgremien institutionalisiert. Dies geschah zuerst 1973 in den USA, wo das Office of Technology Assessment (OTA) den US-amerikanischen Kongress beriet. 7 Es folgten weltweite Nachfolger, etwa das Büro für Technikfolgen-Abschätzung beim Deutschen Bundestag (TAB), 8 das zusammen mit anderen parlamentarischen Beratungsgremien europaweit vernetzt ist. 9 Spezielle Ausprägungen der Technikfolgenabschätzung gibt es überdies im Gesundheitssektor (Health Technology Assessment) 10 sowie im Bereich der Privatwirtschaft. 11 Wissenschaftliche Technikfolgenabschätzung hat in Deutschland eine lange Tradition. Bereits mit der kommerziellen Nutzung der Atomenergie stellte sich die Frage, welche Auswirkungen für die Gesellschaft zu erwarten seien. 12 Seit den 1990er Jahren werden Technikfolgenabschätzungen zunehmend auch für den Bereich der Informations- und Kommunikationstechnologien durchgeführt. Dabei geht es um die prospektive Bewertung der zu erwartenden Auswirkungen mit dem Ziel einer gesellschaftsverträglichen Technikgestaltung. 13 Demgegenüber fokussieren sich Datenschutz-Folgenabschätzungen im engeren Sinne (s. u.) auf die Bewertung konkreter Datenverarbeitungsvorgänge. Sie sind häufig in gesetzlichen Bestimmungen oder behördlichen Empfehlungen niedergelegt und werden im Folgenden näher erläutert. White Paper Datenschutz-Folgenabschätzung 7 44

142 Datenschutz- Folgenabschätzungen Entwicklung und gegenwärtige Praxis 2.2 Folgenabschätzungen in den Bundes- und Landesgesetzen Deutschlands Bereits seit den Anfängen der Datenschutzgesetzgebung in Deutschland waren Datenschutz-Folgenabschätzungen vorgesehen. Sie firmierten zwar nicht unter dieser Bezeichnung, waren aber als Institution angelegt. Als Prüfungsmaßstab der Folgenabschätzung diente der Gesetzeszweck. Zweck des Gesetzes war nicht nur der Schutz des Menschen vor Missbrauch seiner personenbezogenen Daten, 14 sondern galt darüber hinaus dem Schutz des verfassungsmäßigen Gefüges des Staates vor einer Veränderung durch automatisierte Datenverarbeitung. 15 Der Verantwortliche * hatte hierzu sicherzustellen, dass die vorgegebenen Ziele durch technische und organisatorische Maßnahmen eingehalten wurden Abs. 3 Niedersächsisches Datenschutzgesetz (NDSG 1993) schrieb beispielsweise ausdrücklich vor, dass automatisierte Datenverarbeitung nicht ohne umfassende Prüfung der Auswirkungen auf die Rechte der Betroffenen und Wirkmöglichkeiten der Verfassungsorgane zum Einsatz gelangen darf. Im Zuge verschiedener Gesetzgebungsnovellen erfolgten umfangreiche Änderungen der gesetzlichen Zielbestimmungen. Während die Fraktion Bündnis 90/Die Grünen in ihrem Entwurf eines neuen Bundesdatenschutzgesetzes (BDSG) 17 noch eine Vorabkontrolle im Umfang einer Technikfolgenabschätzung 18 vorsah und der Zweck des Gesetzes im Bundesdatenschutzgesetz von 1978 noch der Schutz der Grundrechte war, fanden diese Vorschläge im Zuge der Gesetzesnovellierungen des Bundesdatenschutzgesetzes in den 1990er Jahren keinen Anklang; das neu gestaltete Bundesdatenschutzgesetz 2003 trug der Technikfolgenabschätzung keine Rechnung. Der Zweck des Gesetzes wurde auf den Schutz des Persönlichkeitsrechts 19 bzw. der informationellen Selbstbestimmung 20 reduziert. Statt einer umfassenden Technikfolgenabschätzung verpflichteten Landes- und Bundesdatenschutzgesetze lediglich den Verantwortlichen selbst dazu, technische und organisatorische Maßnahmen zu ergreifen, um Datensicherheit zu gewährleisten und so die informationelle Selbstbestimmung der Betroffenen zu wahren. 21 Selbst 7 Abs. 3 NDSG 2002 reduzierte den Prüfungsmaßstab für die vorgesehene Technikfolgenabschätzung nur noch auf mögliche Gefahren für Rechte der Betroffenen. Die Auswirkungen auf Verfassungsorgane und damit zusammenhängende gesamtgesellschaftliche Gefahren, etwa für die demokratische Willensbildung, blieben nunmehr außer Betracht. Daneben wurden neue Vorschriften eingeführt, die eine Technikfolgenabschätzung gleichwohl inhaltlich nicht ersetzen. So fordert 4d Abs. 5 BDSG zwar eine Vorabkontrolle des Verfahrens. 22 Dadurch sollen besondere Risiken für die Rechte und Freiheiten der betroffenen Person durch automatisierte Verfahren identifiziert werden. 23 Auch diese Prüfung obliegt jedoch nicht einer unabhängigen Instanz, sondern dem Verantwortlichen selbst. Die Vorschrift geht auf Art. 20 Datenschutzrichtlinie (DSRL) 24 zurück; darin wird ein grundsätzlich weites Verständnis von spezifischen Risiken für die Rechte und Freiheiten zugrunde gelegt, 25 überlässt den Mitgliedstaaten bei der Umsetzung allerdings einen großen Handlungsspielraum. Die Umsetzung in 4d Abs. 5 BDSG legt nahe, dass spezifische Risiken nur in besonderen Verarbeitungssituationen angenommen werden; 4d Abs. 5 BDSG nennt die Verarbeitung besonderer personenbezogener Daten nach 3 Abs. 9 BDSG sowie Datenverarbeitung zur Profilbildung. Selbst in * Anstelle des in der bisherigen Datenschutzgesetzgebung in Deutschland bekannten Begriffs Verantwortliche Stelle für jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, verwendet die DS-GVO den Begriff Verantwortlicher Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt

143 diesen Fällen sind jedoch weitreichende Rückausnahmen vorgesehen, wenn eine gesetzliche Pflicht oder Einwilligung des Betroffenen zur Datenverarbeitung besteht. Die Pflicht zur Vorabkontrolle besteht damit nur eingeschränkt; zudem ist die Prüfung lediglich auf das konkrete Verfahren beschränkt und erstreckt sich nicht auf die Entwicklung und Gestaltung eines Systems im Allgemeinen. 26 Dadurch fehlt es auch an einer Gesamtbetrachtung der Auswirkungen einer technologischen Entwicklung auf die verfassungsrechtlichen Schutzgüter. Unter diesen Voraussetzungen kommt der Vorabkontrolle statt einer Gestaltungswirkung eher eine Beanstandungswirkung zu, da diese erst vorgesehen ist, wenn das System bereits etabliert und einsatzfertig ist. 27 Datenschutz- Folgenabschätzungen Entwicklung und gegenwärtige Praxis Statt einer Vorabkontrolle sieht zum Beispiel 6 Abs. 1 Nr. 11 in Verbindung mit 7 Abs. 6 Satz 3 Hessisches Datenschutzgesetz (HDSG) lediglich vor, Auswirkungen eines Verfahrens 28 auf die Rechte der Betroffenen im Sinne des 1 Abs. 1 Nr. 1 HDSG zu prüfen und das Ergebnis in einem Verfahrensverzeichnis niederzulegen. Dieser Prüfung kommt keine vergleichbare Wirkung wie eine Folgenabschätzung zu, da sie sich nur auf bestimmte Datenverarbeitungsvorgänge und Verantwortliche beschränkt sowie auf die Risiken, die direkt mit den Rechten der Betroffenen verbunden sind, nicht jedoch den größeren Gesamtzusammenhang in den Blick nimmt. Festhalten lässt sich, dass die Technikfolgenabschätzung in der deutschen Gesetzgebung hoffnungsvoll begonnen hat, durch verschiedene Gesetzgebungsnovellen jedoch bis zur Unkenntlichkeit verwässert wurde. Die geltenden gesetzlichen Vorschriften sehen allenfalls Datenschutz-Folgenabschätzungen in begrenztem Maße vor. Da jeder Verantwortliche selbst zur Durchführung der Datenschutz-Folgenabschätzung für die von ihm konkret durchgeführten Datenverarbeitungsvorgänge verpflichtet ist, bleiben insbesondere kumulative Wirkungen auf Persönlichkeitsrechte und andere Verfassungsziele, die sich aus dem Zusammenspiel verschiedener Technologien ergeben können, außer Betracht. Vorgaben, die eine unabhängige, nicht von Einzelinteressen geleitete Technikfolgenabschätzung mit Blick auf übergeordnete Verfassungsziele zum Ziel haben, fehlen indes. 2.3 Angelsächsischer Rechtsraum Im angelsächsischen Rechtsraum, genauer in Kanada, fanden Ansätze zu einem PIA bereits in den 1970er Jahren das erste Mal Erwähnung. 29 Erste behördliche Stellungnahmen und Empfehlungen zum Einsatz eines Privacy Impact Assessments wurden allerdings erst Mitte der 1990er Jahre abgegeben, 1996 durch die US-amerikanische Steuerbehörde sowie 1999 durch die kanadische Verwaltungsbehörde. 30 Infolgedessen erschienen in mehreren Ländern des angelsächsischen Rechtskreises Handreichungen zur Durchführung eines Privacy Impact Assessments, unter anderem in Kanada im Jahre 2002, 31 in Neuseeland erstmals 2002, 32 in den USA im Jahre und in Australien In Europa erließ die britische Regierung im Dezember 2007 ein Handbuch zu Privacy Impact Assessments. 35 Trotz der Verbreitung quer durch den angelsächsischen Rechtsraum herrscht allerdings kein einheitliches Verständnis über die Methode Privacy Impact Assessment. Zwar weisen die Empfehlungen einige Gemeinsamkeiten etwa hinsichtlich des Prüfungsgegenstands privacy und des Ziels der Risikovorsorge auf, unterscheiden sich aber doch in speziellen Aspekten. 36 So stellt jedes Land eigene Anforderungen an die Umsetzung eines Privacy Impact Assessments. Viele Länder verstehen darunter zudem keinen interdisziplinären Ansatz, in dem neben Technologieexperten weitere Expertisen einfließen. Auch wird ein PIA nicht immer als Prozess verstanden, der die Technik begleitet, sondern nur als abschließende Evaluation vor Inbetriebnahme einer Technologie. Nur selten ist ein PIA gesetzlich vorgeschrieben; häufig handelt es sich lediglich um Empfehlungen, denen jedoch Kontroll- und Durchsetzungsmechanismen fehlen. Überdies richten sich diese Gesetze oder Empfehlungen nicht immer an öffentliche und nichtöffentliche Verantwortliche, sondern verpflichten nur öffentliche Stellen, also Behör- White Paper Datenschutz-Folgenabschätzung 9 44

144 Datenschutz- Folgenabschätzungen Entwicklung und gegenwärtige Praxis den, beim Einsatz von Datenverarbeitungsanlagen. Schließlich werden kaum Kontrollen durch unabhängige Dritte vorgeschrieben; meist werden lediglich die Verantwortlichen selbst verpflichtet. 37 Zusammenfassend ist festzustellen, dass PIAs im angelsächsischen Raum bereits seit Mitte der 1990er Jahre vielfach Erwähnung gefunden hat. Allerdings verbergen sich dahinter weder eine einheitliche Methode noch einheitliche Anforderungen an die Umsetzung. In jedem Fall beschränkt sich Privacy Impact Assessment jedoch auf die Prüfung von Auswirkungen spezifischer datenverarbeitender Projekte, Programme, Produkte oder Dienstleistungen auf privacy und den Schutz personenbezogener Daten, ohne übergeordnete Auswirkungen auf die gesellschaftliche Ordnung und andere Rechtsgüter mit in den Blick zu nehmen. 2.4 PIA in der Europäischen Union Großbritannien: Der Privacy Impact Assessment Code of Practice des Information Commissioner s Office Die britische Datenschutzaufsichtsbehörde Information Commissioner s Office (ICO) hat ein eigenes generisches, d. h. nicht nur auf eine Technologie anwendbares, PIA-Modell entwickelt. In dem 2014 veröffentlichten Handbuch Conducting privacy impact assessments code of practice 38 des ICO wird ein PIA als Prozess definiert, der einer Organisation hilft, die Risiken eines Projektes für die Privatheit zu identifizieren und zu reduzieren. Laut ICO ist ein effektives PIA während der gesamten Entwicklung und Umsetzung eines Projektes im Rahmen etablierter Projektmanagementprozesse anzuwenden. Die Organisation kann so systematisch und umfassend analysieren, welche Auswirkungen ein bestimmtes Projekt oder System auf die Privatheit der Betroffenen hat. Projekt ist hierbei als jeder Plan oder Vorschlag innerhalb einer Organisation zu verstehen. 39 Um das Konzept des Datenschutzes durch Technikgestaltung ( Privacy by Design ) bestmöglich umzusetzen, ist ein PIA so früh wie möglich durchzuführen, wozu das ICO sechs Phasen vorschlägt: 1. Zunächst ist die Notwendigkeit eines PIA zu prüfen. Dabei betont das ICO, dass der Umfang eines PIA variieren kann. Dies hängt insbesondere davon ab, inwieweit sensible persönliche Daten verarbeitet werden oder wie viel Personal und Ressourcen zur Verfügung stehen Im Anschluss sollen die Datenflüsse von der Erhebung, Speicherung und Nutzung bis zur Löschung sowie die Zugangsrechte beschrieben werden Sodann können Risiken für die Privatheit sowie ihre Lösungen identifiziert werden. Als Risiken führt das ICO solche für die Privatheit von Individuen und Compliance sowie andere Risiken für die Organisation selbst auf. 4. Beim Zugang Unbefugter oder der Nutzerüberwachung drohen nicht nur dem Individuum Schaden, sondern die Organisation setzt sich auch Haftungsrisiken aus Die Organisation soll im nächsten Schritt Lösungen für die identifizierten Risiken erarbeiten, etwa die Vermeidung von Datenerhebungen, die Schulung von Mitarbeitern im Umgang mit personenbezogenen Daten oder die Umsetzung technischer Sicherheitsmaßnahmen zum Schutz der Daten. 43 Dabei soll nach einem dreistufigen Schema beurteilt werden, ob das Risiko dadurch beseitigt, verkleinert oder akzeptiert wird, wobei der Nutzen von Maßnahmen auch mit deren Kosten in Relation gesetzt werden darf. 44 Das ICO betont aber die Notwendigkeit der vollständigen Einhaltung der rechtlichen Anforderungen vor der Umsetzung des Projekts Abschließend sollen die Ergebnisse gesichert und in den Projektplan eingearbeitet werden Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt

145 Während all dieser Phasen unterstreicht das ICO die wichtige Rolle interner sowie externer Konsultationen. Bei der internen Konsultation geht es darum, alle Ebenen des Projekts vom Beschaffungswesen und der IT, bis in das Management einzubinden. 47 Bei den externen Konsultationen geht es um eine Einbindung der Betroffenen, um ihre Rechte und eine transparente Datenverarbeitung zu gewährleisten. 48 Datenschutz- Folgenabschätzungen Entwicklung und gegenwärtige Praxis Frankreich: Das Privacy Impact Assessment der Commission Nationale de l Informatique et des Libertés Die Commission Nationale de l Informatique et des Libertés (CNIL) ist die französische Behörde für Datenschutz und Informationsfreiheit. Auch sie hat sich wiederholt mit den Anforderungen an ein PIA beschäftigt und gibt in aktuell drei Dokumenten Empfehlungen hinsichtlich Methodologie 49, Maßnahmen 50 und sog. good practices 51 zum Umgang mit Datenschutzrisiken, insbesondere Risiken für die (Freiheits-)Rechte der Betroffenen. Einleitend führt die CNIL in ihrem im Sommer 2015 veröffentlichten Dokument zur Methodologie eines PIA aus, dass fundamentale Prinzipien und Rechte unabhängig von Art, Schwere oder Wahrscheinlichkeit eines Risikos unverzichtbar seien und nicht abdingbar. Bei einem PIA geht es demnach darum, mittels technischer und organisatorischer Kontrollen Risiken, die für die Betroffenenrechte bestehen, zu begegnen. Das Dokument richtet sich in erster Linie an alle Verantwortlichen (als Haftungspflichtige), sowie an Produktentwickler, die dem Ansatz des Datenschutzes durch Technik ( Privacy by Design ) folgen wollen. Die CNIL beschreibt ihren PIA-Prozess als Kreislauf, der kontinuierlich wiederholt werden muss: Zunächst ist der Zusammenhang, in dem personenbezogene Daten verarbeitet werden, zu definieren und beschreiben. Es sind insbesondere die Zwecke, Beteiligten, personenbezogenen Daten (Kategorien), der Prozess und Hilfsmittel zu benennen. Dann müssen existierende oder geplante Kontrollmechanismen betrachtet werden, um eine Einhaltung der Datenschutzgesetze und die Verhältnismäßigkeit zu gewährleisten. Der rechtlichen Überprüfung unterliegen hierbei insbesondere Zweck, Information der Betroffenen und Gewährleistung der Rechte der Betroffenen. Daneben ist zu überprüfen, ob und wie geplant ist, Risiken im Hinblick auf den Umgang mit personenbezogenen Daten zu begegnen. Angesprochen sind hiermit insbesondere organisatorische Maßnahmen, Datensicherheits- und Zugangskontrollmaßnahmen. Im Anschluss sind die Datenschutzrisiken einzuschätzen, um sicherzustellen, dass ihnen in geeigneter Weise begegnet wird. Dazu müssen zunächst die Risikoquellen ( wer und wieso ) ausgemacht werden. Dann ist festzustellen, welche Handlungen/Unterlassungen/Umstände genau eintreten könnten, wie, bzw. wie schwer diese jeweils die Persönlichkeitsrechte der Betroffenen verletzen würden und inwiefern eine Bedrohung im Zusammenhang mit den konkret verwendeten (technischen) Hilfsmitteln liegen kann. Aus Schwere und Wahrscheinlichkeit des Eintritts des Ereignisses bzw. der Bedrohung sind die individuellen Risiken zu ermitteln. Über die identifizierten Risiken, geordnet nach ihrer Schwere, ist eine Übersicht zu erstellen. Schließlich ist eine Entscheidung zu treffen, die das geplante (bzw. bestehende und durch das PIA nur überprüfte) Vorgehen bestätigt oder die dazu auffordert, die vorangegangenen Schritte zu wiederholen. Ergibt die Evaluation, dass das Ergebnis zufriedenstellend ist, muss ein Umsetzungsplan erstellt und beschlossen werden. Wenn nicht, müssen die Ziele, deren Behandlung als nicht zufriedenstellend befunden wurde, (neu) betrachtet werden. Jedenfalls ist bei signifikanten Änderungen des Zusammenhangs, der Kontrollmaßnahmen, der Risiken etc. der Prozess zu wiederholen. Im Übrigen aber ist dies in regelmäßigen Abständen erforderlich, um Veränderungen bemerken zu können. White Paper Datenschutz-Folgenabschätzung 11 44

146 Datenschutz- Folgenabschätzungen Entwicklung und gegenwärtige Praxis Über die Durchführung des PIAs ist zudem ein Report anzufertigen, der (auf Anfrage) der zuständigen Datenschutzbehörde zur Verfügung gestellt werden muss. Der Report soll den fraglichen Datenverarbeitungsvorgang beschreiben, Rahmen, rechtliche und Risikokontrollmaßnahmen sowie eine Darstellung der Risiken enthalten und die nach dem PIA gefallene Entscheidung dokumentieren. Im Anhang sollen sich detaillierte Beschreibungen dieser Punkte und der Umsetzungsplan befinden EU-Rahmen für Datenschutz-Folgenabschätzungen bei RFID- Anwendungen und Smart Meters Cloud Computing Trotz der fehlenden Pflicht zur Durchführung einer DSFA, verabschiedete die Europäische Kommission Empfehlungen im Zusammenhang mit der Einführung neuer Technologien wie RFID (RFID-Empfehlung) 52 und Smart Meters (Smart Meters-Empfehlung) 53, die die Durchführung einer DSFA durch die Unternehmen und die Bereitstellung der Ergebnisse an die nationalen Datenschutzbehörden fordern. Die Ergebnisse der auf diesen Empfehlungen basierenden Vorschläge wurden jeweils von der Artikel-29- Datenschutzgruppe kritisch beurteilt, wobei diese auch erstmals allgemeine Anforderungen an DSFAen stellte. 54 Der Kommission zufolge sollten die Mitgliedstaaten in Zusammenarbeit mit der Zivilgesellschaft einen Rahmen für solche Abschätzungen entwickeln. In dem von Branchenvertretern im März 2010 vorgelegten Rahmen zur Abschätzung des Einsatzes von RFID- Anwendungen wurden diese in vier verschiedene Stufen unterteilt, je nachdem in welchem Ausmaß personenbezogene Daten verarbeitet werden. Je nach Stufe musste in dem vorgeschlagenen Rahmen eine vierteilige Abschätzung vorgenommen werden, deren Prüfungsdichte in Abhängigkeit von den Auswirkungen der Datenverarbeitung stieg: Auf eine Beschreibung der Anwendung folgten Vorschläge zu Kontroll- und Sicherheitsmaßnahmen, während der dritte Teil die Benachrichtigung der Nutzer über ihre Rechte vorsah. Abschließend sollte festgestellt werden, ob die Anwendung durchgeführt werden dürfe. Die Artikel-29-Datenschutzgruppe lehnte den vorgeschlagenen Rahmen insgesamt in dieser Form jedoch ab. 55 Sie kritisierte insbesondere, dass er keinerlei verbindliche Vorgaben zur Ermittlung der mit der Anwendung verbundenen Datenschutzrisiken enthalte, obwohl dies ein zentrales Element einer DSFA sein müsse. 56 Weiterhin wurde hervorgehoben, dass eine Konsultation der Beteiligten, auf die sich der Einsatz der Technik auswirke, vorzunehmen sei. 57 Zudem müsse der Prozess in Übereinstimmung mit Art. 8 DSRL die Voraussetzungen für die Verarbeitung von besonderen Datenkategorien, z. B. die ethnische Herkunft, politische oder religiöse Überzeugungen sowie Gesundheitsdaten, erfüllen. 58 In ihrer Smart-Meter-Empfehlung befürwortete die Europäische Kommission, dass die Mitgliedstaaten ein Muster für eine DSFA annehmen und anwenden sollten, das von der Kommission entwickelt und der Artikel-29-Datenschutzgruppe überprüft werden sollte. 59 Die Kommission stellte als Anforderung auf, dass das Muster, neben Abfragen bezüglich der Erfüllung der Anforderungen der Datenschutzrichtlinie, eine Beschreibung der Verarbeitungsprozesse und eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen enthalten sollte. Die Artikel-29-Datenschutzgruppe hielt zunächst allgemein fest, dass aufgrund der gewählten Handlungsform der Kommission Empfehlungen sind gemäß Art. 288 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) nicht rechtsverbindlich auch mit der Smart-Meter- Empfehlung keine Rechtspflicht zur Durchführung einer DSFA bestehe. Allerdings könne es mit Blick auf den damals schon von der Kommission vorgelegten Entwurf der DS- GVO, die eine solche Pflicht erstmals in den Gesetzestext aufnahm, für die Branchenvertreter sinnvoll sein, das vorgeschlagene Muster als eine frühzeitige Umsetzung dieser zukünftigen Rechtspflicht anzusehen. Aus diesem Grund seien auch Beurteilungsspielräume hinsichtlich der Durchführung einer solchen Abschätzung eng auszulegen. 60 Die Artikel-29-Datenschutzgruppe bemängelte an dem Muster, dass die Pflicht der Ver Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt

147 antwortlichen, die Datenschutzaufsichtsbehörden vor der Durchführung der Abschätzung zu konsultieren, nicht vollständig in dem Entwurf umgesetzt wurde, hob aber hervor, dass im Gegensatz zu der Beurteilung des für RFID-Anwendungen vorgeschlagenen Rahmens die Risikoabschätzung bezüglich der Folgen für die Rechte der Betroffenen besser umgesetzt werde, wobei Detailregelungen noch zu vereinheitlichen seien. 61 Außerdem wurde die Bedeutung des Umgangs mit Datenschutzzielen als einer der wichtigsten Schritte einer DSFA hervorgehoben. Die Artikel-29-Datenschutzgruppe betonte zudem, dass es im Rahmen des Datenschutzrechts einen entscheidenden Unterschied zum Sicherheitsbereich, für den Risikofolgenstrategien ursprünglich entwickelt wurden, gibt: Zwar könne man grundsätzlich diesen Ansatz auch auf das Datenschutzrecht übertragen, allerdings seien Bereiche, die durch die Datenschutzrichtlinie geregelt sind, ausgeschlossen. Im Rahmen geltenden Rechts bestünde bezüglich dessen Umsetzung kein Beurteilungsspielraum und es gebe auch keine annehmbaren Abweichungen von den bindenden Vorschriften. Die Anforderungen der Datenschutzrichtlinie müssten in jedem Fall vollständig umgesetzt werden, was in dem vorgelegten Muster noch klarer formuliert werden sollte. 62 Abschließend stellte die Artikel-29- Datenschutzgruppe fest, dass das entwickelte Muster genauer ausgestaltet werden müsse, aber dass es, soweit dies anhand der Änderungsvorschläge erfolge, in Zukunft erfolgreich eingesetzt werden könne. 63 Datenschutz- Folgenabschätzungen Entwicklung und gegenwärtige Praxis White Paper Datenschutz-Folgenabschätzung 13 44

148 Datenschutz- Folgenabschätzungen in der EU- Datenschutz-Grundverordnung 3 Datenschutz-Folgenabschätzungen in der EU- Datenschutz-Grundverordnung Die Datenschutz-Grundverordnung wurde am 4. Mai 2016 im Amtsblatt der EU veröffentlicht. Sie ist ab dem 25. Mai 2018 nach einer zweijährigen Übergangsfrist anwendbar und wird die bisherige DSRL ablösen. Als Verordnung hat sie grundsätzlich direkt in allen Mitgliedstaaten Geltung (Art. 288 Abs. 2 AEUV). Wie auch schon in allen Entwurfsfassungen vorgesehen, ist mit dem konsolidierten Gesetzestext nunmehr erstmals die ausdrückliche Normierung einer DSFA (die englische Fassung verwendet den Begriff Data Protection Impact Assessment ; DPIA) im europäischen Recht vorgesehen. Aus den Erwägungsgründen der Verordnung ist zu erkennen, dass die DSFA insbesondere gedacht ist, um die bislang obligatorische, verwaltungsintensive und dennoch datenschutzrechtlich nicht als förderlich erwiesene, generelle Benachrichtigung der Aufsichtsbehörden vor Aufnahme bestimmter Datenverarbeitungsvorgänge zu ersetzen (Erwägungsgrund 89), bzw. zu optimieren: Die Verantwortlichen sollen bei kritischen (geplanten) Datenverarbeitungen zunächst eine DSFA durchführen und das Ergebnis sodann ggf. der Aufsichtsbehörde übermitteln (Erwägungsgrund 94). Ergibt die DSFA, dass ohne Maßnahmen des Verantwortlichen zur Eindämmung des Risikos ein hohes Risiko für die Betroffenenrechte bestünde, besteht eine Rechtspflicht, die Aufsichtsbehörde zu konsultieren (Art. 36 Abs. 1 DS-GVO). 3.1 Gründe für die Durchführung einer Datenschutz- Folgenabschätzung Gemäß Art. 35 Abs. 1 DS-GVO ist eine DSFA insbesondere durchzuführen, wenn durch die Verwendung neuer Technologien, wobei Art, Umfang, Umstände und Zwecke der Datenverarbeitung zu berücksichtigen sind, voraussichtlich ein hohes Risiko besteht, dass Rechte und Freiheiten Betroffener verletzt werden. Art. 35 Abs. 2 nennt sodann Regelbeispiele für Datenverarbeitungen, bei denen eine Durchführungspflicht besteht. Dies soll der Fall sein bei: (a) systematischer und umfassender Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlicher Weise erheblich beeinträchtigen; (b) umfangreicher Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 Abs. 1 oder von Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10, sowie (c) systematischer umfangreicher Überwachung öffentlich zugänglicher Bereiche. Die Aufsichtsbehörden haben zudem gemäß Art. 35 Abs. 4 DS-GVO (im Rahmen ihres jeweiligen Zuständigkeitsbereichs) eine Liste der Verarbeitungsvorgänge zu erstellen und zu veröffentlichen, für die eine DSFA nach Abs. 1 durchzuführen ist. Art. 35 Abs. 5 DS-GVO enthält auch eine Ermächtigung der Aufsichtsbehörden, eine Liste mit Arten von Datenverarbeitungsvorgängen zu erstellen und zu veröffentlichen, bei denen explizit keine DSFAen durchgeführt werden müssen. Beide Listen sind an den in Art. 68 DS-GVO genannten Ausschuss (Europäischer Datenschutzausschuss) zu übermitteln. Sofern die gelisteten Verarbeitungstätigkeiten bestimmte europarechtliche Bezüge aufweisen (könnten), ist vor ihrer Festlegung das Kohärenzverfahren nach Art. 63 DS- GVO durchzuführen (Art. 35 Abs. 6 DS-GVO). Durch Art. 35 Abs. 10 DS-GVO wird indes bereits verordnungsseitig eine große Ausnahme von der Durchführungspflicht im Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt

149 Einzelfall getroffen: Soweit Daten aufgrund einer im konkreten Fall einschlägigen europäischen oder mitgliedstaatlichen Rechtsvorschrift verarbeitet werden, wird es weitestgehend ins Ermessen der Mitgliedstaaten gestellt, ob die Durchführung einer DSFA nach Art. 35 Abs. 1-7 DS-GVO im Einzelfall erforderlich ist. Hierzu müssen die folgenden Voraussetzungen kumulativ gegeben sein: Es muss sich um Verarbeitungsvorgänge handeln, die entweder zur Erfüllung einer rechtlichen Verpflichtung erforderlich sind, der der Verantwortliche unterliegt (Bsp.: Speicherung zur Erfüllung von Aufbewahrungspflichten), oder die zur Wahrnehmung einer Aufgabe erforderlich sind, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde (Bsp.: Steuerverwaltung). Die zu beurteilende Verarbeitung muss auf einer anwendbaren europäischen oder mitgliedstaatlichen Rechtsvorschrift beruhen, die diese Verarbeitung(en) auch konkret regelt. Zu fordern dürfte insofern eine Bestimmung der jeweiligen Verarbeitung(en) nach Art, Umfang, Umständen und Zweck sein. Schließlich muss im Rahmen der allgemeinen Folgenabschätzung bei Erlass der Rechtsvorschrift bereits eine DSFA vorgenommen worden sein. Datenschutz- Folgenabschätzungen in der EU- Datenschutz-Grundverordnung Im Ergebnis wird es damit insbesondere in das Ermessen der Mitgliedstaaten gestellt, ob sie an sich selbst ihre eigenen Behörden und Ämter die gleichen Datenschutzanforderungen stellen wie an die private Wirtschaft. Zugleich wird die staatliche Verwaltung immer mehr digitalisiert, und die Bürger haben in diesen Fällen in aller Regel auch nicht die Möglichkeit, auf einen datenschutzfreundlicheren Anbieter auszuweichen. Weiterhin ist eine gewisse Eindimensionalität in der Betrachtung der DSFA zu erkennen: Auch wenn man im Gesetzgebungsverfahren die Folgen für den Datenschutz letztlich: die Rechtmäßigkeit eines gesetzlich definierten Datenverarbeitungsvorgangs im Grundsatz wird abschätzen können, heißt das nicht, dass die Anwendung im Einzelfall d. h. in der ausführenden Behörde immer in blaupausenartig-gleicher Qualität erfolgt. Die Regelung konterkariert insofern das eigentliche Ziel einer DSFA, den Schutz der Daten des Einzelnen gegenüber einer Institution zu gewährleisten, indem die Institution angehalten wird, sich selbst zu hinterfragen. Eine umfassende DSFA wird auf abstrakter, legislativer Ebene nur eingeschränkt möglich sein. Dennoch sollte der hier vorgeschlagene Prozess soweit wie möglich im Gesetzgebungsverfahren adaptiert und in der Gesetzesbegründung entsprechend dokumentiert werden. 3.2 Anforderungen an eine Datenschutz-Folgenabschätzung Der Text der DS-GVO stellt allgemeine Vorgaben hinsichtlich der Anforderungen an eine DSFA auf. Er formuliert in Art. 35 Abs. 7 DS-GVO klar, dass es sich insofern um Mindestanforderungen handelt. Demnach hat der Verordnungstext nicht den Anspruch, sich insbesondere praktisch stellende Fragen abschließend zu beantworten. Die, sich für den Rechtsanwender ergebenden, tatsächlichen inhaltlichen wie organisatorischen Anforderungen in ein praktikables System zu bringen, wird der Rechtspraxis überlassen bleiben. Abs. 3 verlangt (a) eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen; (b) eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck; (c) eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Abs. 1; sowie (d) die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird. Generell zielt die DS-GVO mit dem Instrument der DSFA darauf ab, dass der Verantwortliche bei Verarbeitungsvorgängen, die aufgrund ihrer Art, ihres Umfangs, ihrer White Paper Datenschutz-Folgenabschätzung 15 44

150 Datenschutz- Folgenabschätzungen in der EU- Datenschutz-Grundverordnung Umstände und ihrer Zwecke wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen, eine Bewertung vornimmt. Anhand dieser Abschätzung sollen sodann entsprechend geeignete Maßnahmen zur Eindämmung des identifizierten Risikos gefunden werden (Erwägungsgrund 90). Dies soll auch die in einigen Mitgliedstaaten sehr umfangreich bestehenden allgemeinen Meldepflichten ablösen (Erwägungsgrund 89). Neben diesen inhaltlichen Vorgaben werden weitere Regelungen bzgl. zu berücksichtigender Punkte getroffen. So soll bei der Einschätzung der datenschutzrechtlichen Auswirkungen etwa die Einhaltung allgemeiner noch aufzustellender codes of conduct 64 ( genehmigte Verhaltensregeln ) durch den Verantwortlichen bzw. seinen Auftragsverarbeiter zu berücksichtigen sein (Art. 35 Abs. 8 DS-GVO). Gegebenenfalls soll der Verantwortliche auch die Betroffenen oder ihre Interessenvertreter anhören (Art. 35 Abs. 9 DS-GVO). Nach Art. 35 Abs. 11 DS-GVO ist schließlich erforderlichenfalls durch den Verantwortlichen zu überprüfen, ob die Verarbeitung gemäß der DSFA durchgeführt wird. Zumindest gilt dies, wenn eine Änderung des mit den Verarbeitungsvorgängen bestehenden Risikos eintritt. Unabhängig davon ist es empfehlenswert, in regelmäßigen Abständen die Rechtskonformität der betreffenden Verarbeitungsvorgänge zu überprüfen, auch um Änderungen des Risikos zeitnah feststellen zu können. Hinsichtlich der Dokumentation der DSFA oder auch der Zusammenfassung ihrer Ergebnisse in einem Bericht werden explizit keine Vorgaben gemacht. In Art. 36 DS-GVO wird bestimmt, in welchen Fällen die Aufsichtsbehörde im Anschluss an die DSFA, aber vor Aufnahme der Verarbeitung zu konsultieren ist. Hierbei geht es um Fälle, in denen ohne die von dem Verantwortlichen getroffenen Schutzmaßnahmen ein hohes Risiko bestünde (Art. 35 Abs. 1 DS-GVO). Art. 35 Abs. 3 DS-GVO listet dazu auf, welche Angaben gegenüber der Aufsichtsbehörde zu machen sind und macht so scheinbar mittelbar auch Vorgaben zum Inhalt des Berichts: Der Verantwortliche soll gegebenenfalls die jeweiligen Zuständigkeiten der gemeinsam Verantwortlichen und beteiligten Auftragsverarbeiter mitteilen; insbesondere im Falle der Verarbeitung innerhalb einer Gruppe von Unternehmen (a). Auch die Zwecke und die Mittel der beabsichtigten Verarbeitung (b), die zum Schutz der Rechte und Freiheiten der betroffenen Personen gemäß der DS-GVO vorgesehenen Maßnahmen und Garantien (c) und die Kontaktdaten des Datenschutzbeauftragten soweit vorhanden (d) sind mitzuteilen. Weiterhin heißt es dann jedoch, dass die Datenschutz-Folgenabschätzung gemäß Artikel 35 (e) und alle sonstigen von der Aufsichtsbehörde angeforderten Informationen (f) zu übermitteln sind. Im Ergebnis werden also lediglich Vorgaben hinsichtlich mitzuteilenden organisatorischen Informationen gemacht. Über Art. 35 DS-GVO hinausgehende Anhaltspunkte für den Aufbau einer DSFA oder den über sie anzufertigenden Bericht ergeben sich nicht. Erfüllung der rechtlichen Vorgaben durch die Modelle von ICO und CNIL Die DS-GVO stellt nur sehr allgemeine Mindestanforderungen auf, es besteht aber erstmals eine konkrete Rechtspflicht zur Durchführung einer Datenschutz- Folgenabschätzung. Es werden auch die (ebenfalls allgemein formulierten) Punkte der Artikel-29-Datenschutzgruppe aufgegriffen, die die Ermittlung der Datenschutzrisiken für die Rechte der Betroffenen als zentrales Element der Datenschutz-Folgenabschätzung hervorhob. Der vom ICO entwickelte PIA Code of Practice erfüllt die sehr allgemeinen Mindestanforderungen der Entwürfe teilweise. Allerdings ist zu beachten, dass es sich aufgrund der bisher fehlenden Rechtspflicht bezüglich der Durchführung einer DSFA nur um Empfehlungen handelt Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt

151 Ein zentraler Punkt des Code of Practice ist die Identifizierung der Risiken für die Betroffenen. Darauf aufbauend sollen Lösungen, die den Schutz der Privatheit sicherstellen, gefunden und bewertet werden. Dabei wird auch explizit darauf hingewiesen, dass es eine Lösung sein kann, bestimmte Daten nicht zu erheben, wie es in Punkt 2 der Mindestanforderungen vorgesehen ist, und auch eine Festlegung von Löschfristen wird erwähnt. Allerdings haben diese Punkte einen Empfehlungscharakter und sollen mit den Kosten, die durch die Umsetzung entstehen, abgewogen werden. Das Prinzip der datenschutzfreundlichen Voreinstellungen ( Data protection by design and by default ), wie es in Art. 23 DS-GVO nunmehr festgeschrieben wird, ist in dem Code of Conduct noch nicht berücksichtigt. Datenschutz- Folgenabschätzungen in der EU- Datenschutz-Grundverordnung Die Dokumente der CNIL zur Durchführung eines PIAs haben zum Ziel, die Einhaltung bestehender Datenschutzgesetzgebung zu systematisieren und zu dokumentieren. Nach der Feststellung, dass die Grundrechte der Betroffenen nicht verhandelbar seien, ist auch dieser Ansatz vornehmlich als Empfehlung formuliert. Lediglich darauf, dass die Vorgaben des Datenschutzrechts und ihre Einhaltung obligatorisch und daher zu kontrollieren sind, wird hingewiesen. 65 Die verpflichtenden Vorgaben der der DS-GVO hinsichtlich des Inhalts eines PIAs werden durch das Modell der CNIL voraussichtlich unproblematisch erfüllt: Es zielt auf die Risiken für die Betroffenenrecht ab, betont insoweit den Unterschied zu Risiken für die Organisation selbst (etwa Imageverlust, finanzieller Schaden etc.) und fordert eine Beschreibung der Verarbeitungsvorgänge sowie eine Risikoeinschätzung. Auch nennt es mögliche Maßnahmen für diverse konkrete Anwendungsfälle und schreibt die Dokumentation des gesamten Prozesses und eine regelmäßige Wiederholung vor. Für alle vorzunehmenden Schritte werden Beispielsfälle und -maßnahmen genannt. Allerdings ist bislang nicht ersichtlich, wie die CNIL in der Praxis nicht unübliche widersprüchliche Ergebnisse des Analyseprozesses auflösen will. Es wird keine Systematik an die Hand gegeben, die es ermöglicht, planvoll im Sinne eines Gesamtkonzeptes auf widersprüchliche Anforderungen zu reagieren und in jedem Einzelfall eine gute Balance zu erreichen. 3.3 Risikoansatz vs. Grundrechtsgewährleistung Mit der konsolidierten Fassung der DS-GVO wurde der sogenannte Risikoansatz explizit formuliert. 66 Der Verantwortliche muss demnach mögliche Risiken analysieren und je nach Ergebnis der Analyse unterschiedliche Auflagen erfüllen, beispielsweise die Durchführung einer DSFA, soweit die beabsichtigte Art der Datenverarbeitung wahrscheinlich zu einem hohen Risiko für die Betroffenenrechte führen wird (vgl. soeben unter 3.1). Insbesondere im Rahmen der Verhandlungen des Verordnungstexts im Rat der EU wurde darüber spekuliert, ob mit dem Risikoansatz die Rechte der Betroffenen beschnitten und die Pflichten für Unternehmen und Behörden reduziert werden sollten. 67 Tatsächlich ist der Risikoansatz vom Risikomanagement zu unterscheiden; es gibt einige grundsätzliche Unterschiede zwischen den Prinzipien des Datenschutz und des Risikomanagements: Datenschutz stellt das Individuum als Betroffenen von Datenverarbeitung in den Fokus und betrachtet jede Organisation als potenziellen Angreifer auf die Betroffenenrechte. Das klassische Risikomanagement adressiert hingegen Risiken für die Organisation und deren Tätigkeit. Im Rahmen einer umfassenden DSFA ist es aber sinnvoll, Organisationen zusätzlich auf die Risiken hinzuweisen, die durch die Verletzung von Betroffenenrechten entstehen direkt durch Sanktionen der Aufsichtsbehörden oder indirekt durch Imageverlust o. ä. Während es dem Datenschutz darum geht, die Rechte jedes Einzelnen zu garantieren, ist das Ziel des Risikomanagements die Reduktion von Risiken auf ein für die Organisation akzeptables Maß. Was für eine Organisation akzeptabel ist, hängt dabei davon ab, welche Mittel zur Abstellung von Risiken zur Verfügung stehen und wie risikofreudig die Organisation (bzw. deren Entscheider) ist. Dies führt dazu, dass Risiken, die selten eintreten, nur mit geringem Schaden verbunden sind oder nur wenige Personen betref- White Paper Datenschutz-Folgenabschätzung 17 44

152 Datenschutz- Folgenabschätzungen in der EU- Datenschutz-Grundverordnung fen, als akzeptabel eingeschätzt werden. Im Gegensatz dazu hat der Datenschutz zum Ziel, jede Beeinträchtigung von Betroffenenrechten vollständig zu vermeiden oder zu beseitigen (es sei denn, eine gesetzliche Erlaubnis oder Einwilligung liegt vor). 68 Im Grundsatz gilt für den Datenschutz, dass jede Verarbeitung personenbezogener Daten durch Organisationen, auch wenn diese durch Gesetz legitimiert ist, einen Grundrechtseingriff darstellt. Eine DSFA, zumal wenn sie von dem Verantwortlichen selbst durchgeführt werden soll, sollte eine systemische Perspektive haben, bei der alle Akteure mit ihren spezifischen Interessen im Blick sind. Auch eine Grundrechtsgewährleistung ist im Rahmen einer Risikoanalyse wie sie in der DS-GVO gefordert wird möglich, wenn berücksichtigt wird, dass die Erfüllung der sich aus den Grundrechten der Betroffenen ergebenden Anforderungen nicht von der Verfügbarkeit finanzieller und personeller Mittel abhängig sein darf. Der im folgenden Kapitel skizzierte Prozess zur Durchführung von DSFAen versucht den Brückenschlag zwischen dem Risikoansatz sowie dem Ansatz zur Grundrechtsgewährleistung und kombiniert die als sinnvoll erachteten Elemente mit dem Ziel, ein für alle Beteiligten nützliches Werkzeug zu schaffen Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt

153 4 Elemente eines Prozesses zur Datenschutz- Folgenabschätzung Elemente eines Prozesses zur Datenschutz-Folgenabschätzung Wie erläutert gibt es eine Vielzahl unterschiedlicher Ansätze für Datenschutz- Folgenabschätzungen sowie Prozesse zu deren Durchführung. Abb. 01 zeigt einen prototypischen Prozess, der auf einer umfangreichen Analyse bestehender organisatorischer Abläufe basiert und solche Elemente kombiniert, mit denen in der Praxis die bestmöglichen Resultate erzielt wurden. 69 Obwohl der Prozess als weitgehend linear dargestellt ist, kann es notwendig sein, bestimmte Schritte mehrfach zu durchlaufen, bis eine akzeptable Lösung gefunden ist. Der Ansatz stellt die Reproduzierbarkeit und Überprüfbarkeit der Ergebnisse sicher. Damit ist es für Dritte (u.a. die zuständigen Datenschutzbehörden) möglich zu kontrollieren, ob rechtliche Vorgaben eingehalten werden. Ein standardisiertes Verfahren versetzt Kunden bzw. Betroffene zudem in die Lage, die Datenschutzfolgen verschiedener Lösungen miteinander zu vergleichen. Schließlich fokussiert das Verfahren nicht nur auf eine Technologie oder Anwendung, sondern ist technologieneutral formuliert. Dies hilft, den Aufwand für die wiederholte Durchführung gering zu halten. Der Gesamtprozess (Abb. 01) gliedert sich in drei Phasen, eine Vorbereitungsphase, die zur Organisation der Datenschutz-Folgenabschätzung dient, die eigentliche Bewertungsphase sowie eine Berichts- und Maßnahmenphase. In den folgenden Abschnitten werden die drei Phasen und die darin zu durchlaufenden Schritte näher erläutert. 70 Abb. 01: Vorgehensweise für die Durchführung einer DSFA White Paper Datenschutz-Folgenabschätzung 19 44

154 Elemente eines Prozesses zur Datenschutz-Folgenabschätzung 4.1 Vorbereitungsphase Relevanzschwelle Zunächst muss sich der Verantwortliche mit der Frage auseinandersetzen, ob im konkreten Fall die Durchführung einer DSFA überhaupt notwendig ist. DS-GVO definiert die gesetzliche Relevanzschwelle in Art. 35 Abs. 1 und nennt in Art. 35 Abs. 3 sodann einen nicht abschließenden Katalog mit Anwendungsfällen. Art. 35 Abs. 1 DS-GVO bestimmt, dass wenn aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der Betroffenen besteht, eine DSFA durchzuführen ist. Dies impliziert, dass die bloße Datenverarbeitung als solche keine Rechtspflicht auslöst. Allerdings ist zu bedenken, dass um überhaupt seriös feststellen zu können, ob ein hohes Risiko besteht, bereits eine Abschätzung vorgenommen werden muss. Auch eine solche kann in Form des im Folgenden dargestellten Prozess erfolgen. Weiterhin ist zu beachten, dass Verantwortliche selbstverständlich bestehende Gesetze einzuhalten haben und dies auch gegenüber der Aufsichtsbehörde nachweisen können müssen. Die Analyse der eigenen Datenverarbeitung im Vorfeld und die Dokumentation dieser können die Kommunikation mit der Aufsichtsbehörde wesentlich erleichtern. Verpflichtend ist eine DSFA gemäß Abs. 3 insbesondere bei folgenden Verarbeitungsvorgängen durchzuführen: bei systematischer und umfassender Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlicher Weise erheblich beeinträchtigen; bei umfangreicher Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Abs. 1 oder von Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10; bei systematischer weiträumiger Überwachung öffentlich zugänglicher Bereiche. Darüber hinaus werden die Aufsichtsbehörden verpflichtet, weitere Fälle von Datenverarbeitungen festzulegen und zu veröffentlichen, in denen vorab eine DSFA vorzunehmen ist (Art. 35 Abs. 4 DS-GVO). Ebenso werden Aufsichtsbehörden ermächtigt, Fälle zu definieren und zu veröffentlichen, in denen eine DSFA explizit nicht vorzunehmen ist (Art. 35 Abs. 5 DS-GVO). Zu weiteren Ausnahmen von der Durchführungspflicht vgl Prüfplanung Wenn sich bei der Prüfung der Relevanzschwelle ergeben hat, dass eine DSFA durchzuführen ist, sollten zunächst die damit verbundenen Ziele und Rahmenbedingungen festgelegt und ein geeignetes Team zusammengestellt werden. Anspruch der Datenschutz-Folgenabschätzung Zunächst ist der Charakter der DSFA festzulegen. Dies ist später auch bei der Veröffentlichung der Ergebnisse zu kommunizieren. In der bisherigen Praxis finden sich drei Typen von DSFA. 71 Dabei ist zu betonen, dass von den im Folgenden genannten Typen nur die DSFA im engeren Sinne die Anforderungen der DS-GVO an eine rechtlich gebotene DSFA vollumfänglich kann. Marketing-DSFA haben i. d. R. das Ziel, mit geringem Aufwand Kunden (und Aufsichtsbehörden die sich indes nicht mit diesen vergleichsweise oberflächlichen Analysen zufriedengeben sollten) einen Nachweis über die Erfüllung datenschutzrechtlicher Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt

155 Anforderungen zu erbringen. Zu diesem Zweck wird häufig ein formal korrekt durchgeführtes Verfahren nach einem der vielen in Europa gebräuchlichen Vorgehensweisen (z. B. ISO-Standard, ICO Handbook etc.) durchgeführt, allerdings wird meist eine sehr enge Systemdefinition verwendet. Die darauf angewendeten Kriterien sind vielfach intransparent, häufig werden dabei auch die Kriterien der Informationssicherheit mit denen des Datenschutzrechts gleichgesetzt. Die Ergebnisse von Marketing-DSFAen versuchen in der Regel, Aufsichtsbehörden und die Öffentlichkeit von der Risikolosigkeit einer Technologie oder eines Systems zu überzeugen. Die Identifikation negativer Folgen wird meist von vorherein vermieden und schon gar nicht veröffentlicht. Aus rechtlicher Sicht ist fraglich, welche Relevanz diese Art von DSFA besitzt bzw. ob sie den Anforderungen der DS-GVO genügen wird. 72 Nach zutreffender Ansicht ist dies zu verneinen, da ein effektiver Schutz der Betroffenenrechte so keinesfalls erreicht werden kann. Elemente eines Prozesses zur Datenschutz-Folgenabschätzung Standard-Datenschutz-Folgenabschätzungen (DSFA im engeren Sinne) sind solche, die am ehesten den Vorstellungen des europäischen Gesetzgebers entsprechen dürften und die das Ziel haben, den Nachweis zu liefern, dass ein konkretes Datenverarbeitungssystem konform mit den datenschutzrechtlichen Anforderungen ist, oder geeignete Schutzmaßnahmen für dieses System zu identifizieren. Bei solchen DSFAen wird auf einen vordefinierten Katalog an Bewertungskriterien und -maßstäben sowie Schutzmaßnahmen zurückgegriffen, um die Bewertung für die Aufsichtsbehörden und die Öffentlichkeit nachvollziehbar zu machen. Die Ergebnisse einer DSFA im engeren Sinne werden in einer standardisierten Form dokumentiert und veröffentlicht (ggf. unter Weglassung von Teilen, die Betriebs- und Geschäftsgeheimnisse enthalten). Schließlich gibt es auch wissenschaftliche Datenschutz-Folgenabschätzungen (DSFA im weiteren Sinne), die sich eher in der Tradition wissenschaftlicher Technikfolgenabschätzungen verstehen. Sie haben den Zweck, unbekannte Eigenschaften und Risiken einer Technologie oder eines Systems aufzudecken. Zu diesem Zweck ist eine wissenschaftliche DSFA meist sehr breit angelegt, beschränkt sich nicht auf einen konkreten Anwendungsfall und bewertet nicht nur Aspekte des Daten- und Privatheitsschutzes, sondern auch weitere Aspekte. Dazu gehören vor allem ethische, ökonomische und Sicherheits- Aspekte. 73 In diesem Zusammenhang gibt es Bestrebungen, unterschiedliche Verfahren der Technikbewertung in einem integrierten Bewertungsrahmen zusammenzufassen. 74 Da die Datenschutz-Folgenabschätzung nicht nur aktuelle, sondern auch künftige Risiken adressiert, ist das Vorgehen prospektiv und arbeitet häufig mit (spekulativen) Szenarien, die oftmals keiner so engen Zweckbindung wie für Forschungsdaten unterworfen werden können, wie es rechtlich vielfach gefordert ist. Allerdings ist zur Kompensation möglicherweise für Einzelpersonen riskanter Folgen und Forschungen zu fordern, dass die Ergebnisse der Folgenabschätzungen allgemein öffentlich zugänglich sind und einen gewissen kompensatorischen Nutzen für diese Personen entfalten können. Das Wissen aus einer wissenschaftlichen DSFA darf dann nicht exklusiv gehalten und nur wenigen Organisationen vorbehalten sein. Wegen der prognostischen Unsicherheiten ist es nicht ausreichend, einen fest definierten Katalog an Kriterien und Maßnahmen abzuarbeiten (was nicht bedeutet, dass Informationssicherheits- und/oder Datenschutzstandards ignoriert werden sollten); stattdessen sind ein partizipatives Vorgehen und ein risikoorientierter Ansatz sinnvoll. Insbesondere können fehlende Rechtsgrundlagen angesprochen und entsprechende Empfehlungen gegeben oder auch geeignete Normentexte, seien diese Gesetzesentwürfe oder Einwilligungserklärungen, entworfen werden. Eine wissenschaftliche Datenschutz- Folgenabschätzung ist ergebnisoffen angelegt und auch negative Prüfergebnisse werden publiziert. Team Bei der Zusammenstellung des Teams ist es wichtig, eine Balance zwischen Unabhängigkeit und Verantwortlichkeit herzustellen. Zum einen ist es für die Objektivität und White Paper Datenschutz-Folgenabschätzung 21 44

156 Elemente eines Prozesses zur Datenschutz-Folgenabschätzung Glaubwürdigkeit der Ergebnisse entscheidend, dass das Team in der Lage ist, eine wirkungsvolle Prüfung vorzunehmen. Dafür ist zum einen sicherzustellen, dass ausreichend Ressourcen (Zeit, Personal, Kompetenzen) zur Verfügung stehen: Auf der anderen Seite muss gewährleistet sein, dass sich die Datenschutz-Folgenabschätzung nicht anderen Zielen der Organisation unterzuordnen hat. Damit die Prüfung die gewünschten Ziele erreichen kann, insbesondere die Änderung von als kritisch bewerteten Elementen, ist gleichzeitig zu gewährleisten, dass die für die Entwicklung oder Einführung verantwortlichen Personen in den Prozess eingebunden sind, idealerweise als Verantwortlicher für die Durchführung der DSFA. Um Interessenkonflikte zu vermeiden, ist die Einbeziehung einer neutralen Stelle (z. B. Qualitätssicherung) zu erwägen. Verpflichtend ist nunmehr gem. Art. 35 Abs. 2 DS-GVO (sofern vorhanden) den Rat des internen Datenschutzbeauftragten einzuholen. Zumindest sollte dies Gegenstand einer (nachträglichen) Überprüfung sein Was wird betrachtet? Im ersten inhaltlichen Schritt ist zu definieren, was im Rahmen der DSFA geprüft wird, also der Prüfgegenstand (engl. target of evaluation). Zur Beschreibung des Prüfgegenstandes gehören neben Zweck und Kontext vor allem drei Komponenten, die zu unterscheiden und einzeln abzuhandeln sind: Daten und deren Formate beim Speichern oder Transferieren (Protokolle), verwendete IT-Systeme und deren Schnittstellen sowie Prozesse und Funktionsrollen. Mit Blick auf das durch die DSFA angestrebte Ziel bzw. den Grund ihrer Durchführung lassen sich auch hier unterschiedliche Typen von DSFA unterscheiden: Eine konkrete DSFA, wie sie einer Datenschutzaufsichtsbehörde gem. Art. 35 DS- GVO vorgelegt werden muss, darf sich nicht auf einzelne Komponenten oder Verfahrensweisen beschränken, sondern muss den vorab definierten Prüfungsgegenstand in seiner Gesamtheit beschreiben. Dazu zählt nicht nur die technische Realisierung, sondern auch die organisatorische Gestaltung und Einbettung bei dem Verantwortlichen. Um eine ganzheitliche Perspektive auch bei der Bewertung von Einzelverfahren und Komponenten beibehalten zu können, müssen die Anwendungsfälle innerhalb der Organisation des Verantwortlichen möglichst realistisch und präzise beschrieben werden. Insbesondere müssen die Zwecke der Datenverarbeitung abschließend definiert werden, um den datenschutzrechtlichen Prinzipien der Zweckbindung (Art. 5 Abs. 1 lit. b DS-GVO) und der Datensparsamkeit, bzw. Datenminimierung, (Art. 5 Abs. 1 lit. c DS-GVO) genügen zu können und soweit erforderlich eine rechtliche Güterabwägung zur Gewährleistung des Grundrechtsschutzes vornehmen zu können. Generische DSFA betrachten dagegen Technologie, Verfahren oder Komponenten ohne Berücksichtigung eines konkreten Einsatzkontexts. Meist handelt es sich hierbei um prognostische wissenschaftliche DSFAen. Dabei werden grundsätzliche Risiken untersucht, die sich nicht auf Fragen des Datenschutzes beschränken müssen. Um den damit verbundenen prognostischen Unsicherheiten zu begegnen, werden normalerweise mehrere für typisch erachtete Szenarien für Einsatzkontexte definiert. Bei der Bewertung kann dann auf existierendes Wissen über diese Einsatzkontexte zurückgegriffen und für das zu prüfende Verfahren extrapoliert werden. Diese Form der DSFA kann in zweierlei Weise genutzt werden: intern im Rahmen einer Privacyby-Design-Strategie für die technische Weiterentwicklung und extern in Form von Empfehlungen für die Konfiguration und den datenschutzgerechten Einsatz. In der Praxis bietet sich allerdings eine Kombination beider Formen an. Hersteller und Vertreiber führen eine generische DSFA durch und weisen darin auf generelle Risiken in verschiedensten Kategorien hin. Für die Nutzung in einem konkreten Kontext und zur Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt

157 Erfüllung ihrer gesetzlichen Pflicht nach Art. 35 DS-GVO führt der Verantwortliche dann eine konkrete DSFA durch, die ggf. auf der generischen DSFA aufbaut. Elemente eines Prozesses zur Datenschutz-Folgenabschätzung Wer sind die beteiligten Akteure? Ebenso wichtig wie die umfassende Beschreibung des Systems und seines Einsatzkontextes ist die Identifikation der handelnden und betroffenen Akteure. Darunter fallen nicht nur Organisationen und Personen, die im Rahmen der Entwicklung oder Verwendung eine bestimmte Rolle einnehmen und damit potenzielle Angreifer sind, sondern vor allem die Personen, die mittelbar oder unmittelbar durch den Einsatz betroffen sind. Konkret fallen darunter: die Hersteller des Prüfungsgegenstands; Betreiber des Prüfungsgegenstands als Dienstleister etwa im Rahmen einer Auftragsdatenverarbeitung (Rechenzentrum, Internet-Provider); Mitarbeiter der für den Einsatz des Prüfungsgegenstands verantwortlichen Organisation 75 ; die betroffenen Personen in ihren Rollen als Bürger, Patient, Kunde, Arbeitnehmer etc. (je nach Anwendungskontext); Dritte, die im Zuge des Einsatzes des Prüfungsgegenstandes Kenntnis von personenbezogenen Daten nehmen, entweder zufällig (z. B. zufällig anwesende, mithörende Dritte) oder absichtlich (Sicherheitsbehörden). Für jede dieser Akteursgruppen ist zu beschreiben, welche Rolle sie bei der Datenverarbeitung spielen, welche Rechtsbeziehungen zwischen ihnen bestehen und welche Interessen bei ihnen vorliegen. Die Besonderheit einer DSFA besteht darin, dass neben dem Risiko missbräuchlicher Datennutzung durch unbefugte Dritte vor allem das Risiko betrachtet wird, das durch die missbräuchliche, den eigentlichen Zweck überdehnende oder überschreitende sowie sogar bestimmungsgemäße Nutzung von Daten durch die Organisation selbst entsteht. Insofern ist bei der Identifikation der Betroffenen stets zu eruieren, welche Motive zur Nutzung von Daten durch andere Abteilungen einer Organisation sowie insbesondere der Zugriff auf Verfahren und deren Daten durch Sicherheitsbehörden, Konkurrenzunternehmen oder Forschungsinstitute bestehen können Identifikation der maßgeblichen Rechtsgrundlagen Die Identifikation der maßgeblichen Rechtsgrundlagen ist der nächste Schritt in der Vorbereitungsphase. Diese soll nicht nur die Gewährleistung der Rechte der Betroffenen sicherstellen, sondern liegt auch im Interesse des Verantwortlichen, eigenen Pflichten nachzukommen. Zunächst ist das anzuwendende Recht zu bestimmen. Werden personenbezogene Daten im Rahmen der Tätigkeit einer Niederlassung in der Europäischen Union verarbeitet oder werden personenbezogene Daten einer in der Union ansässigen Person verarbeitet, ist der Anwendungsbereich der DS-GVO eröffnet und mithin europäisches Recht anzuwenden. 76 So kann nicht-europäisches Recht anwendbar sein, wenn ein Verantwortlicher seinen Sitz in einem anderen Staat hat und keine personenbezogenen Daten von in der Union ansässigen Personen verarbeitet. Die konkret zu identifizierenden Rechtsgrundlagen sind abhängig vom spezifischen Prüfgegenstand. Zunächst immer zu beachten ist das Datenschutzrecht. Das einschlägige Datenschutzrecht bestimmt sich nach der DS-GVO. 77 Diese hat zukünftig Anwendungsvorrang vor nationalem Datenschutzrecht. Über entsprechende Öffnungsklauseln, also Vorschriften, die die Ausgestaltung oder Beschränkung des Regelungsinhalts den Mitgliedstaaten überlassen, 78 zur Ausfüllung unbestimmter Rechtsbegriffe oder durch Regelungslücken 79 in der DS-GVO, können gegebenenfalls auch weiterhin natio- White Paper Datenschutz-Folgenabschätzung 23 44

158 Elemente eines Prozesses zur Datenschutz-Folgenabschätzung nale Vorschriften Anwendung finden, soweit die DS-GVO keine abschließende Regelung trifft. Diese können sich zum Beispiel aus dem Bundesdatenschutzgesetz, den Landesdatenschutzgesetzen, aus dem Telemedien- oder Telekommunikationsgesetz ergeben, aber auch aus weiteren bereichsspezifischen Vorschriften, etwa den Sozialgesetzen oder dem Strafrecht. Die Beachtung der Rechtsgrundlagen dient auch dem Verantwortlichen, um die Verwirklichung von Straftatbeständen zu verhindern. Besonders relevant ist dies etwa für diejenigen Verantwortlichen, die dem Berufsgeheimnis unterliegende personenbezogene Daten verarbeiten. Diese müssen sicherstellen, dass keine Daten unbefugt offenbart werden können. Je weiter der Prüfgegenstand, desto mehr zusätzliche Rechtsgrundlagen sind potenziell zu beachten. Dazu gehören alle rechtlichen Vorschriften, die im Rahmen der elektronischen Datenverarbeitung Anwendung finden können, etwa Vorgaben zu AGB- und sonstigem Verbraucherrecht oder Minderjährigenschutz. Da im Rahmen der Datenschutz-Folgenabschätzung jedoch vorrangig Prozesse und technische Abläufe geprüft werden, kommen solche Rechtsgrundlagen im Rahmen der DSFA nur dann in Betracht, wenn deren Anforderungen direkt im technischen Prozess umgesetzt sind. Andernfalls sind diese vorrangig im Rahmen der Compliance sicherzustellen Dokumentation der Problem- und Aufgabendefinition Die Ergebnisse der Vorbereitungsphase sind vom Verantwortlichen des DSFA-Prozesses in Form eines Scoping-Berichts zu dokumentieren. Die Darstellung sollte nach einer standardisierten Gliederung erfolgen, die auch später bei der Dokumentation der Prüfergebnisse verwendet wird. Dieser Bericht gibt den verbindlichen Rahmen für die nachfolgenden Bewertungsschritte vor. 4.2 Bewertungsphase Identifikation von Schutzzielen Es hat sich im Bereich der IT-Sicherheit bzw. Informationssicherheit bewährt, Anforderungen als Schutzziele zu formulieren. 80 Die Anforderungen des Datenschutzes sind gesetzlich normiert. Diese Anforderungen lassen sich ebenfalls mit Hilfe von Schutz-, bzw. Gewährleistungszielen 81 umsetzen, die in kompakter und methodisch zugänglicher Form die operativen Risiken explizit machen, vor denen es durch eine angemessene Verfahrensgestaltung und Maßnahmen zu schützen gilt. Sechs Schutzziele gelten derzeit im Bereich des Datenschutzes als etabliert (Abb. 02). Den Risiken der Informationssicherheit wird klassisch mit der Sicherung der drei Schutzziele (1) Verfügbarkeit, (2) Integrität und (3) Vertraulichkeit begegnet. Aufbauend hierauf werden zusätzlich als spezifische Datenschutzschutzziele formuliert: (4) Nichtverkettbarkeit, (5) Transparenz und (6) Intervenierbarkeit. 82 Die Schutzziele thematisieren insgesamt wesentliche datenschutzrechtliche Risiken bzw. Anforderungen. Dabei stehen hinter jedem Schutzziel weitere, von ihnen abgeleitete Schutzziele. So nimmt das Schutzziel Nichtverkettbarkeit die im Datenschutzrecht zentrale Anforderung der Zweckbindung einer Verarbeitung personenbezogener Daten auf, in einer Form, die der technischen und organisatorischen Umsetzung der Anforderung an Zweckbindung, die wiederum die Anforderungen der Datensparsamkeit und Erforderlichkeit reguliert, entgegenkommt. 83 Die Revisionsfähigkeit ist ein wesentlicher Aspekt der Sicherung der Transparenz, und die Sicherung der Authentizität ist ein wesentlicher Aspekt der Sicherung der Integrität in einer Kommunikationsbeziehung. Das Schutzziel der Intervenierbarkeit dient der operativ zugänglichen Gewährleistung der Betroffenenrechte Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt

159 Elemente eines Prozesses zur Datenschutz-Folgenabschätzung Abb. 02: Systematik der Schutzziele Hinter jedem dieser Schutzziele steht vor allem ein Katalog mit Maßnahmen zur Erreichung der Schutzziele in der Praxis. Generell lassen sich alle Schutzziele aus verschiedenen Normen des BDSG ableiten bzw. die zentralen Grundsätze des Datenschutzrechts jeweils einem oder mehreren Schutzzielen zuordnen. Das Schutzzielekonzept kann dabei jedoch nicht jede einzelne rechtliche Festlegung erfassen, was bspw. die Löschbzw. Aufbewahrungsfristen, Zustimmungserklärungen und ähnliches mehr, betrifft. Solche Regelungen im Detail sind insofern zusätzlich zu beachten. Die Schutzziele befinden sich in einem doppelten Spannungsfeld. Jeweils zwei Schutzziele können als entgegengesetzte Pole auf einem Graphen betrachtet werden. Das Spannungsfeld entsteht, da bei dem Fokus auf ein Schutzziel, z. B. durch besonders hohe Anforderungen, die umzusetzen sind, beim gegenüberstehenden Schutzziel zwangsläufig Abstriche gemacht werden müssen. Im Rahmen der Bewertung ist im Einzelfall eine Abwägung zu treffen, in welchem Umfang die Erreichung eines Schutzziels zu Lasten des konkurrierenden Schutzziels erfolgen soll. Beispielsweise kann ein System, mit dem als sehr vertraulich eingeschätzte Daten verarbeitet werden, nicht gleichzeitig in hohem Maß Verfügbarkeit für die Daten garantieren. Das erforderliche hohe Maß an Vertraulichkeit bedingt die Notwendigkeit der Implementierung strenger personeller und räumlicher Zugangskontrolle, was die Verfügbarkeit einschränkt Identifikation von möglichen Angreifern, Angriffsmotiven und -zielen Bei der Betrachtung der Schutzziele ist darüber hinaus zu berücksichtigen, dass konsequent die Betroffenenperspektive eingenommen wird. Insbesondere die Schutzziele der Informationssicherheit werden in der Regel aus der Risikoperspektive der Organisation betrachtet, bei der die Sicherung der Geschäftsprozesse im Vordergrund steht. Die Angreifer sind in dieser Sichtweise grundsätzlich externe Dritte und nicht regelkonform handelnde interne Nutzer. Bei einer DSFA muss aber von einer anderen Konstellation ausgegangen werden: Zu schützen sind in diesem Fall nicht die Geschäftsprozesse, sondern die Interessen und Rechte der Kunden, Arbeitnehmer etc. einer Organisation. Als Risiko für den Datenschutz müssen hingegen vor allem Organisationen, wie zum Beispiel Behörden und Unternehmen, betrachtet werden, die Daten erfassen, verarbeiten und weitergeben, bzw. solche Organisationen, die sich Zugriff zu Daten verschaffen können. Dabei geht es vor allem um Risiken, die aus der illegitimen Überdehnung des Zwecks durch den Betreiber selbst entstehen, aber auch um Risiken, die aus dem potenziellen Interesse anderer Institutionen an den schon bei einem Betreiber vorliegenden Datenbestand resultieren. Insofern muss im Rahmen einer DSFA standardmäßig überprüft werden, ob White Paper Datenschutz-Folgenabschätzung 25 44

160 Elemente eines Prozesses zur Datenschutz-Folgenabschätzung folgende Organisationen ein Risiko für die Rechte des Einzelnen und die Privatheit darstellen: Staatliche Stellen, z. B. Sicherheitsbehörden: Innenministerien, Polizei, Geheimdienste, Militär etc. Staatliche Leistungsverwaltung: Leistungsträger für Arbeitslosengeld II ( Hartz IV ), Rentenversicherungsträger etc. Statistische Ämter Versagende Aufsichtsbehörden, die durch das Hinterlassen rechtsfreier Räume Angriffe anderer Akteure ermöglichen Unternehmen 84, z. B. Technologiehersteller, Systemintegratoren, IT-Diensteanbieter (Zugang, Inhalte etc.) Banken, Versicherungen Wirtschaftsauskunfteien, Adress- und Datenhandel, Marktforschung Werbebranche Interessenvereinigungen, Verbände Arbeitgeber Gesundheitswesen, z. B. Krankenhäuser, Ärzte gesetzliche und private Krankenversicherungen Forschung, z. B. Medizinforschung Sozialforschung Universitäten Es ist offensichtlich, dass es einen Interessenkonflikt gibt, wenn die Organisation, die die DSFA durchführt, gleichzeitig ein gewichtiges Risiko für den Datenschutz darstellt. Um auszuschließen, dass sich die Organisation in den blinden Fleck der Risikoanalysen setzt, sollte wenigstens eine nachträgliche Überprüfung durchgeführt werden. Auch vom internen Datenschutzbeauftragten ist zu erwarten, dass er die Betroffenenperspektive einnimmt und seine eigene Organisation von außen" betrachtet. Idealerweise sollte die DSFA aber von einer unabhängigen Instanz (jedoch in enger Kooperation mit der den Prüfgegenstand betreibenden Organisation) durchgeführt werden Identifikation von Bewertungskriterien und -maßstäben Für die Bewertung eines Risikos haben sich die Schutzbedarfsabstufungen bewährt, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinen IT-Grundschutz- Katalogen empfiehlt. 85 Allerdings ist eine direkte Übertragung dieser auf Informationssicherheit abzielenden Sichtweise auf Datenschutzaspekte nicht zielführend. Um dem auf Grundrechtsschutz angelegten Datenschutz gerecht zu werden, kann der Schutzbedarf nicht allein anhand von Schadenshöhen und Eintrittswahrscheinlichkeiten bestimmt werden. Vielmehr ist primär anzuerkennen, dass jede auch eine völlig rechtskonforme Datenverarbeitung einen Eingriff in die Grundrechte der Betroffenen aus Art. 7 und 8 der EU- Grundrechtecharta darstellt. Allein daraus folgt bereits ein normaler Schutzbedarf. Aufgrund spezifischer Arten der Datenverarbeitung bzw. Verarbeitung von speziellen Arten von Daten kann sodann eine noch höhere Eingriffsintensität und damit die Annahme eines hohen oder sogar sehr hohen Schutzbedarfs impliziert sein. 86 Die Schutzbedarfsabstufungen lassen sich wie folgt zusammenfassen: Normal: Es werden personenbezogene Daten verarbeitet, ohne dass Verarbeitungsszenarien mit potenziell erhöhter Eingriffsintensität gegeben sind. Hoch: Es werden personenbezogene Daten verarbeitet, die der Kategorie besonderer Arten personenbezogener Daten zuzuordnen sind und als solche de lege lata Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt

161 hohen Schutzbedarf aufweisen, und/oder die Betroffenen sind von den Entscheidungen bzw. Leistungen der Organisation abhängig, wobei die hohe Eingriffsintensität der Datenverarbeitung zu erheblichen Konsequenzen für die Betroffenen führen kann und/oder keine effektiven Interventions-/Selbstschutzmöglichkeiten für die Betroffenen bestehen; hierzu zählt auch das Fehlen realistischer Möglichkeiten gerichtlicher Überprüfung. Sehr hoch: Es werden personenbezogene Daten mit hohem Schutzbedarf verarbeitet, und zusätzlich sind die Betroffenen von den Entscheidungen bzw. Leistungen der Organisation unmittelbar existenziell abhängig und es bestehen zusätzliche Risiken durch unzureichende Informationssicherheit oder unzulässige Zweckänderung seitens der Organisation, ohne dass die Betroffenen solche direkt bemerken und/oder korrigieren können. Elemente eines Prozesses zur Datenschutz-Folgenabschätzung Zudem kann sich durch Kumulierungseffekte ein hoher Schutzbedarf auch bei Datenverarbeitungen mit einzeln betrachtet nur normalem Schutzbedarf ergeben. Dies kann der Fall sein, wenn Daten von sehr vielen Personen erhoben werden ( Kumulierung vieler Daten ) oder aber wenn Daten durch einzelne Personen (z. B. Administratoren) zu verschiedenen Zwecken erhoben werden, wobei sich die betroffenen Personen jeweils in verschiedenen Rollen befinden ( Kumulierung vieler Berechtigungen ) Bewertung des Risikos Der Kern des Bewertungsvorgangs besteht im Vergleich der, von den Verantwortlichen, geplanten bzw. in der Prüfung festgestellten Maßnahmen mit einem Katalog von Referenzmaßnahmen. Probst (2012) hat einen ersten Vorschlag zu einem Katalog mit generischen Schutzmaßnahmen vorgelegt. Gegenwärtig (2016) erarbeitet eine Arbeitsgruppe des Arbeitskreises Technik ( AK Technik ) der Datenschutzbeauftragten des Bundes und der Länder einen solchen Katalog mit, unter den deutschen Aufsichtsbehörden abgestimmten, Datenschutzmaßnahmen. 87 Schutzziel Komponente Maßnahmen Sicherstellung von Verfügbarkeit Daten, Systeme, Prozesse Redundanz, Schutz, Reparaturstrategie Tab. 01: Beispiele für generische Schutzmaßnahmen Daten Hash-Wert-Vergleich 88 Sicherstellung von Integrität Sicherstellung von Vertraulichkeit Sicherstellung von Nichtverkettbarkeit durch Zweckbestimmung Systeme Prozesse Daten, Systeme Prozesse Daten Systeme Prozesse Einschränkung von Schreibrechten, regelmäßige Integritätsprüfungen Festlegung von Referenzwerten (min/max), Steuerung der Regulation Verschlüsselung Rechte- und Rollenkonzepte Anonymität, Pseudonymität, attributbasierte Credentials Trennung (Isolierung) von Datenbeständen, Systemen und Prozessen Identity Management, Anonymitätsinfrastrukturen, Audits White Paper Datenschutz-Folgenabschätzung 27 44

162 Elemente eines Prozesses zur Datenschutz-Folgenabschätzung Schutzziel Komponente Maßnahmen Daten Dokumentation, Protokollierung Sicherstellung von Transparenz durch Prüffähigkeit Systeme Prozesse Systemdokumentation, Protokollierung von Konfigurationsänderungen Dokumentation von Verfahren, Protokollierung Tab. 01 (Fortsetzung): Beispiele für generische Schutzmaßnahmen Sicherstellung von Intervenierbarkeit durch Ankerpunkte Daten Prozesse Zugriff auf Daten für den Betroffenen (Auskunft, Berichtigung, Sperrung, Löschung) Helpdesk/einheitlicher Ansprechpartner für Änderungen/Löschungen, Change Management Diese Liste führt auf, welche Maßnahmen zur Gewährleistung der verschiedenen Schutzziele ergriffen werden können. Der bislang noch in Erarbeitung befindliche Maßnahmenkatalog des AK Technik sieht eine Reihe von Maßnahmen vor (ähnlich Tab. 01). Es ist künftig sicherzustellen, dass die Liste stets die technisch besten verfügbaren Maßnahmen aufführt. 89 Im Rahmen der Risikobewertung sind Abweichungen danach zu gewichten und zu beurteilen, inwieweit sie das Erreichen der Schutzziele gefährden (Abb. 03). Aus Sicht der Aufsichtsbehörden besteht ein datenschutzrechtlicher Mangel, wenn eine solche Analyse ergibt, dass die Schutzziele nicht in ausreichendem Maße erfüllt werden. Im Rahmen ihres Beratungsauftrags kann die Aufsichtsbehörde zur Beseitigung eines solchen Mangels dann konkrete Hilfestellung leisten. Abb. 03: Soll-Ist- Vergleich im Rahmen der Risikobewertung In der Praxis lässt sich mit nur geringem Aufwand feststellen, dass Anforderungen nicht erfüllt werden, weil die zugeordneten Maßnahmen und die gebotene Qualität der Umsetzung entsprechend dem Schutzbedarf sofort ersichtlich fehlen. Komplizierter ist der Fall, wenn die zu prüfende Stelle andere als die Referenz-Schutzmaßnahmen gewählt hat. Auch wenn diese als grundsätzlich geeignet beurteilt werden können, kann in Zweifel stehen, dass sie in ihrer konkreten Ausgestaltung dem festgestellten Schutzbedarf entsprechen. Hier ist dann der Nachweis zu führen, dass die getroffene Schutzmaßnahme mindestens denselben Schutz wie die Referenz-Schutzmaßnahme bietet. 90 Aufbauend auf den bisherigen Ergebnissen ist sodann abschließend eine klassische Risikoanalyse vorzunehmen, d. h. zu fragen, ob und mit welcher Wahrscheinlichkeit die Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt

163 Organisation die Datenschutzbestimmungen nicht einhalten wird (organisationsinterne Gründe). Insbesondere folgende Aspekte sollten betrachtet werden: Motivation der Organisation, den Verarbeitungszweck unbefugt zu ändern Operative Möglichkeiten der Organisation, den Zweck unbefugt zu ändern (Auftrags-)Verarbeitung der Daten in Drittstaaten (möglicherweise abweichendes Schutzniveau, weniger Kontroll- und Rechtsschutzmöglichkeiten) Erreichen der festgelegten Anforderungen durch die getroffenen Schutzmaßnahmen, insbesondere Vorliegen von Prozessen zur Konfliktresolution zwischen Informationssicherheit (für Geschäftsprozesse) und operativer Sicherung der Betroffenenrechte. Elemente eines Prozesses zur Datenschutz-Folgenabschätzung 4.3 Bewertungsphase ein alternatives Verfahren für wissenschaftliche Datenschutz-Folgenabschätzungen Für eine wissenschaftliche DSFA bietet sich neben der oben dargestellten Bewertung anhand von standardisierten Katalogen ein offeneres Bewertungsverfahren an, das an Methoden des Risikomanagements nach ISO 31000: angelehnt ist und auf einer intensiven Einbeziehung alle Beteiligten basiert. Reines Risikomanagement erfüllt allerdings nach zutreffender Ansicht nicht die Anforderungen der DS-GVO. Ein solcher Bewertungsprozess wird im Folgenden kurz skizziert (vgl. Abb. 04). 92 Ausgangspunkt einer partizipativen wissenschaftlichen DSFA ist die Überlegung, auf welche Weise welche Akteursgruppen und Interessen im Evaluationsprozess einer Technik- oder Datenschutz-Folgenabschätzung repräsentiert werden können. Dem trägt auch Art. 35 Abs. 9 DS-GVO Rechnung, der vorsieht, dass der Verantwortliche gegebenenfalls die Standpunkte der betroffenen Personen einholt. Mit der elaborierten Expertise technischer Experten allein geht die Gefahr einer verengten Sichtweise und folglich einer technokratisch-paternalistischen Bevormundung Technik-nutzender Bürger einher. Technikfolgenabschätzungsverfahren sind damit immer auch politische Veranstaltungen und die Frage nach dem Einbezug von Betroffenen ist entsprechend als Frage nach der demokratischen Qualität von Technikgestaltung zu verstehen. Schon das Prozedere der relevanten Gruppen weist insofern politische Qualität auf. Wir stellen im Folgenden ein alternatives Modell vor, d. h. ein offeneres Bewertungsverfahren, das zumindest versucht, auf die Frage nach der Demokratisierung von Bewertungsverfahren Antworten zu finden. Vor allem bei neuen Technologien ist es häufig nicht ausreichend, diese anhand eines bereits existierenden Katalogs zu überprüfen, da sich die Datenschutz- und Privatheitsrisiken mit der technischen Entwicklung erheblich verändern. 93 Darüber hinaus kann sich nicht nur die Bewertung von Risiken zwischen unterschiedlichen Akteursgruppen erheblich unterscheiden, häufig entspricht auch das von den Bürgern wahrgenommene nicht dem tatsächlich vorhandenen Risiko. 94 Beide Effekte sollten aber für die Gestaltung von gesellschaftlich akzeptablen technischen Systemen berücksichtigt werden. Abb. 04: Elemente eines partizipativen Bewertungsprozesses White Paper Datenschutz-Folgenabschätzung 29 44

164 Elemente eines Prozesses zur Datenschutz-Folgenabschätzung Zentral für diesen Ansatz ist die Einbeziehung möglichst aller relevanten Akteure, die bereits während der Vorbereitungsphase identifiziert wurden. Dabei sollte die Frage im Blick behalten werden, welche Akteure überhaupt als relevant gelten und wer darüber entscheidet. Solch eine partizipative Bewertung stellt allerdings Anforderungen an Zeitpunkt und Umstände: Bei einer DSFA, die vor der Markteinführung bzw. parallel zum Entwicklungsprozess durchgeführt wird, kann die Einbeziehung von externen Personengruppen u. U. unerwünscht sein, nicht nur weil Betriebs- und Geschäftsgeheimnisse betroffen sind, sondern auch weil aus Imagegründen keine unausgereiften Lösungen präsentiert werden sollen. Es ergibt sich daraus die Anforderung, frühzeitig eine konstruktive Form der Einbindung zu wählen. Die Einbeziehung von Betroffenen kann problematisch sein, da eine sorgfältige und systematische Bewertung meist Fachwissen erfordert, das bei technischen Laien nicht vorausgesetzt werden kann. Hier ist somit die Frage maßgeblich, wie sich dieses Fachwissen vermitteln lässt. Das für das Bewertungsverfahren verwendete Vokabular hat Folgen für die Intensität und Qualität der Einbeziehung unterschiedlicher Akteursgruppen. So dürften bestimmte Formulierungsweisen etwa besonders technophile Akteure oder solche mit Rechtskenntnissen begünstigen. Fraglich ist daher, wie sich Übersetzungsprozesse zwischen den beteiligten Gruppen erfolgreich gestalten lassen. Partizipative DSFAen unter Einbeziehung von Externen werden vermutlich schon deswegen eher die Ausnahme bleiben, da dieser Prozess zeitaufwendiger ist und es ansonsten bei bestimmten Akteursgruppen rasch zu einer Konsultationsmüdigkeit kommen könnte. Methodisch stehen verschiedene partizipatorische Verfahren zur Verfügung, wobei sich beispielsweise die Nutzung von Fokusgruppen anbietet, mit denen viele Unternehmen in den Bereichen Produktgestaltung und Marketing Erfahrung haben. 95 Im Rahmen der Konsultation wird mit allen Beteiligten Folgendes analysiert: Welche Werte bzw. Schutzziele werden bei der betrachteten Technologie bzw. dem betrachteten System als besonders relevant erachtet? Dabei sind die Schutzziele des Datenschutzes (Abschnitt 4.2.1) Ausgangspunkt der Analyse. Sie sollte sich allerdings nicht darauf beschränken. Vielmehr sollen auch andere Werte diskutiert werden, die durch die Technik berührt werden und ggf. im Wechselverhältnis zueinander stehen. Dazu können etwa Fragen der Gerechtigkeit bzw. Diskriminierungsfreiheit, der Kosten oder der Sicherheit gehören, die von den verschiedenen Beteiligten durchaus als unterschiedlich wichtig erachtet werden können. 96 Was sind Risiken (Schadensereignisse), die es mit Blick auf die Schutzziele zu vermeiden gilt? 97 Was sind die Ursachen eines Risikos (Bedrohung): Wer ist bei diesen Schadensereignissen der Angreifer? Was sind die Motive des Angreifers? Über welche Schwachstelle findet der Angriff statt? Welche Fähigkeiten und Ressourcen sind für die erfolgreiche Durchführung eines Angriffs notwendig? Wie groß ist die Wahrscheinlichkeit eines erfolgreichen Angriffs? Welche Folgen hat die Realisierung eines Risikos: Auf welche Weise treten Schäden auf? Wer wird geschädigt? Welchen Charakter haben die Schäden? Welches Schadensausmaß ist zu erwarten? Auch die Bewertungskriterien und -maßstäbe können im Austausch zwischen den beteiligten Gruppen festgelegt werden. Da es sich allerdings meist um qualitative Bewertungen handelt, ist auch bei einer partizipativen Bewertung der Datenschutzfolgen die Nutzung der in Abschnitt erläuterten Skala für die Beurteilung des Schadensaus Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt

165 maßes sinnvoll. In ähnlicher Granularität sollte auch die Eintrittswahrscheinlichkeit der verschiedenen Angriffe bewertet werden (beispielsweise in fünf Stufen von unwahrscheinlich bis sehr wahrscheinlich). Die Größe des Risikos wird dann als Produkt von Eintrittswahrscheinlichkeit und Schadensausmaß bestimmt. Elemente eines Prozesses zur Datenschutz-Folgenabschätzung Im abschließenden Schritt werden die Wahrscheinlichkeit und das Schadensausmaß für jedes Risiko in einer Risikomatrix eingetragen (vgl. Abb. 05). Abb. 05: Risikomatrix Je nach der Lage innerhalb der Matrix kann dann festgelegt werden, welchen Risiken prioritär zu begegnen ist und welche Risiken ggf. akzeptabel sind. Dabei kann auch berücksichtigt werden, dass in der Regel die finanziellen und/oder personellen Ressourcen begrenzt sind, die zur Vermeidung von Risiken zur Verfügung stehen (sog. ALARP- Prinzip as low as reasonably practicable). Eine hohe Priorität des Handelns besteht bei solchen Risiken, die eine hohe Eintrittswahrscheinlichkeit haben und potenziell großen Schaden verursachen können. Akzeptabel können solche Risiken sein, die entweder wenig wahrscheinlich sind oder nur geringen Schaden nach sich ziehen. Eine solche Bewertung lässt die Einhaltung gesetzlicher Vorgaben unberührt. So kann die Risikobewertung zu dem Schluss führen, dass das Risiko aus Sicht einer Organisation akzeptabel ist, weil nur die Rechte Einzelner betroffen sind. Das genau widerspricht aber dem Verständnis des Datenschutzes als Grundrechtsschutz. Dennoch kann die probabilistische Bewertung des Risikos hilfreich sein, da sie es ermöglicht, unterschiedliche Interessen und Rahmenbedingungen im Wechselspiel zu betrachten. Im Fall von fundamentalen Konflikten zwischen Werten und/oder Akteuren können so Anstöße zur Um- oder Neugestaltung entstehen. 4.4 Schutzmaßnahmen, Veröffentlichung und Überprüfung Identifikation und Implementierung passender Schutzmaßnahmen Auf Grundlage der Bewertungsergebnisse ist ein Plan zur Risikobehandlung zu erstellen. Dabei ist zu beachten, dass es in vielen Fällen insbesondere bei Auswirkungen auf verfassungsmäßig geschützte Individualrechte nicht möglich ist, ein Risiko mit Hinweis auf die u. U. geringe Zahl der Geschädigten als akzeptabel einzustufen und White Paper Datenschutz-Folgenabschätzung 31 44

166 Elemente eines Prozesses zur Datenschutz-Folgenabschätzung nur Maßnahmen zur Verminderung der Schäden zu ergreifen. Insbesondere bei dem in Abschnitt 4.3 geschilderten Bewertungsverfahren besteht allerdings die Möglichkeit, Risiken zu priorisieren, um dann im Rahmen der rechtlichen Vorgaben und der zur Verfügung stehenden Ressourcen diejenigen Maßnahmen zu ergreifen, die zusammengenommen den größten Nutzen für die Betroffenen haben. Der Maßnahmenplan sollte explizit benennen, welche Schutzmaßnahmen ergriffen werden sollen, um den Grundrechtseingriff und konkrete Schäden für Betroffene zu vermeiden oder zu verringern, wer für die Umsetzung der Schutzmaßnahmen verantwortlich und wer daran zu beteiligen ist, bis wann diese Schutzmaßnahmen umgesetzt sein sollen und welche Mittel dafür zur Verfügung gestellt werden, nach welchen Kriterien der Erfolg einer Schutzmaßnahme beurteilt werden soll und wer diese Beurteilung durchführt und dokumentiert. Um die Wahl geeigneter Schutzmaßnahmen zu erleichtern, kann die Liste der generischen Schutzmaßnahmen genutzt werden, die bereits für die Bewertung des Risikos (vgl. Abschnitt 4.2.4) eingesetzt wurde Dokumentation und Veröffentlichung des Ergebnisberichts Damit eine DSFA die anfangs erwähnten Effekte erzielen kann, ist es notwendig, dass der Prozess umfänglich dokumentiert und in Form eines Berichts öffentlich zugänglich gemacht wird. Ein solcher DSFA-Bericht sollte wie schon der Scoping-Bericht einer standardisierten Gliederung folgen, die es Aufsichtsbehörden, Unternehmen und der Öffentlichkeit erleichtert, die Ergebnisse zu bewerten und zu vergleichen. Wenn der Bericht auch Details über Betriebs- und Geschäftsgeheimnisse enthält, kann für die Öffentlichkeit eine gekürzte Fassung erstellt werden. Der Kurzbericht soll aber genau wie der vollständige Bericht alle Elemente der DSFA dokumentieren und darf keinesfalls mögliche negative Effekte verschweigen. 98 Die Entscheidung, dass bestimmte Informationen nicht zu veröffentlichen sind, sollte nur aus berechtigten und zu dokumentierenden Gründen erfolgen. Aus Gründen der Transparenz ist es angeraten, den DSFA-Bericht zu veröffentlichen; er sollte auf der Internetseite der Organisation leicht auffindbar und kostenlos zu beziehen sein, obwohl dies nicht explizit in der DS-GVO gefordert ist. Ggf. kommt auch eine Hinterlegung von DSFA-Berichten bei der zuständigen Aufsichtsbehörde in Betracht. Der vollständige Bericht ist Grundlage der Prüfung der DSFA und sollte auch als Grundlage für Kontrollen durch Datenschutzaufsichtsbehörden dienen können Unabhängige Prüfung der Prüfergebnisse DSFA-Berichte sollten in der Regel durch eine unabhängige dritte Stelle ggf. auch durch die zuständige Datenschutzaufsicht geprüft werden, um sicherzustellen, dass der DSFA-Prozess ordnungsgemäß durchgeführt wurde. Insbesondere soll die Überprüfung sicherstellen, dass angemessen mit Interessenkonflikten umgegangen wurde, die Interessen der Betroffenen bei der Risikobewertung und der Auswahl von Schutzmaßnahmen in ausreichendem Umfang berücksichtigt wurden, die Öffentlichkeit in ausreichendem Umfang über die Ergebnisse der DSFA informiert wird und die Implementierung der vorgeschlagenen Schutzmaßnahmen tatsächlich in Angriff genommen wurde Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt

167 4.4.4 Überwachung und Fortschreibung Elemente eines Prozesses zur Datenschutz-Folgenabschätzung Die Abschätzung von Datenschutzfolgen ist kein einmaliger und linearer Prozess, sondern muss über die Lebensdauer eines Prüfgegenstands ggf. mehrfach wiederholt werden. Insofern ist kontinuierlich zu überwachen, ob sich die Rahmenbedingungen des Einsatzes in technischer, organisatorischer oder rechtlicher Weise ändern, die neue Datenschutzrisiken nach sich ziehen. Auch ist zu überwachen, ob die gewählten Schutzmaßnahmen den erwarteten Nutzen haben oder ob andere Maßnahmen zu ergreifen sind. Die Dokumentation der DSFA ist mit solchen Informationen kontinuierlich fortzuschreiben. White Paper Datenschutz-Folgenabschätzung 33 44

168 Diskussion Was kann eine Datenschutz-Folgenabschätzung leisten? 5 Diskussion Was kann eine Datenschutz- Folgenabschätzung leisten? Eine Datenschutz-Folgenabschätzung (DSFA) ist ein relativ neues Instrument zur Identifikation von Risiken, die durch den Einsatz von (neuen) vorwiegend datenverarbeitenden Technologien und Systemen für die Grundrechte der Bürger auf Achtung des Privatlebens und den Schutz personenbezogener Daten nach Art. 7 und 8 Charta entstehen. Die Nutzung dieses Instruments wird durch die Datenschutz-Grundverordnung in bestimmten Fällen obligatorisch vorgeschrieben. Da es bislang keinen allgemein akzeptierten Standard für die Durchführung einer DSFA gibt, haben wir in diesem White Paper Vorschläge für einen Prozess gemacht, mit dem je nach angewandtem Modell nach wissenschaftlichen Erkenntnissen bzw. Erfahrungen aus der Praxis der Datenschutzbehörden die Analyse einer Technologie oder eines Systems auf Einhaltung der Datenschutzgesetze erfolgen kann. Im Folgenden soll kurz diskutiert werden, welchen Nutzen eine DSFA für die unterschiedlichen Akteure haben kann, aber auch, wo die Grenzen eines solchen Instruments liegen. Die DSFA ist in erster Linie ein Frühwarnsystem, das es den beteiligten Akteuren ermöglicht, über die Folgen technischer Entwicklungen und deren Nutzung systematisch nachzudenken sowie mögliche Mängel zu erkennen und zu beseitigen. Dabei ist es entscheidend, vorab festzulegen, welches Ziel mit der DSFA verfolgt wird. Geht es um Erfüllung der neuen gesetzlichen Pflicht nach DS-GVO, muss die Perspektive der Betroffenen eingenommen werden, deren Grundrechte es durch entsprechende System- und Technikgestaltung zu schützen gilt (Standard-DSFA). Aber auch bei einer wissenschaftlichen DSFA sind die Interessen und Befindlichkeiten anderer Gruppen und insbesondere der Betroffenen zu berücksichtigen, die nicht unmittelbar in den Entwicklungsprozess einer Technik oder in die Entscheidung über deren Einsatz beteiligt sind, jedoch in erster Linie von den Folgen berührt sind. Je nach Zielsetzung, kann eine gute DSFA dabei über die bloße Pflichterfüllung hinaus verschiedene Aufgaben erfüllen: Für Technikanbieter und Systembetreiber: Eine DSFA stellt eine zuverlässige und nachvollziehbare Quelle dar, die eine informierte Diskussion über Risiken und deren Ursachen ermöglicht. Die Analysen im Rahmen einer DSFA machen Verantwortlichkeiten und Zuständigkeiten zur Gewährleistung von Datenschutzvorkehrungen auf unterschiedlichsten Ebenen in einer Organisation klar. Eine frühzeitige Durchführung einer DSFA ermöglicht bessere Entscheidungen schon in der Entwurfsphase einer Technologie oder eines Systems und verhindert so, dass später aufwändige (und oftmals dennoch unzureichende) Nachbesserungen vorgenommen werden müssen. Eine DSFA kann Datenpannen vorbeugen, die Kosten für deren Behebung, Schadensersatzansprüche, einen Imageschaden in der Öffentlichkeit oder ggf. Sanktionen durch die Aufsichtsbehörden nach sich ziehen können. Zusammengenommen ist eine DSFA ein nützliches Instrument, mit dem Unternehmen nachweisen können, dass sie rechtskonforme Produkte und Dienstleistungen anbieten. Damit fördert sie das Vertrauensverhältnis zwischen Unternehmen, Kunden und Bürgern und kann somit zum Wettbewerbsvorteil werden. Für die Öffentlichkeit: Eine DSFA macht deutlich, in welcher Weise ein Anbieter oder Betreiber Betroffenenrechte berücksichtigt hat, insbesondere wenn die DSFA unabhängig überprüft oder sogar mit einer Zertifizierung kombiniert wurde Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt

169 Auf diese Weise können Bürger und Kunden eine (besser) informierte Entscheidung darüber treffen, ob sie bestimmte Angebote nutzen wollen oder nicht. Für die Aufsichtsbehörden: Standardisierte DSFA erleichtern den Aufsichtsbehörden die Erfüllung ihrer Aufsichtspflicht, d. h. mögliche Schwächen oder Rechtsverstöße zu erkennen und den Anbietern im Rahmen ihrer Beratungsaufgabe Hilfestellung zur Verbesserung ihrer Produkte bzw. Datenverarbeitung zu geben. Diskussion Was kann eine Datenschutz-Folgenabschätzung leisten? Damit sich das volle Potenzial wirklich entfalten kann, muss allerdings sichergestellt werden, die DSFA nicht nur als einmalige Aktion zu verstehen, sondern als kontinuierlichen Prozess, der während des Produktlebenszyklus bzw. der Durchführung der konkreten Datenverarbeitung ganz oder teilweise mehrfach durchgeführt werden sollte. Der Grund hierfür liegt im sogenannten Steuerungsdilemma, das aus dem Bereich der klassischen Technikfolgenabschätzung bekannt ist: 99 Kern dieses Dilemmas ist die Forderung, dass eine Folgenabschätzung möglichst frühzeitig erfolgen sollte, um noch Änderungen in der Gestaltung vornehmen zu können. Gleichzeitig ist es aber notwendig, die zu bewertende Technologie oder den zu bewertenden Prozess so genau wie möglich zu beschreiben und zu charakterisieren, was erst in späteren Entwicklungsphasen möglich ist, wenn grundsätzliche Gestaltungsentscheidungen längst gefallen sind und nicht mehr ohne Weiteres geändert werden können. Wenig zielführend sind aus diesem Grund auch in großer Eile und unmittelbar vor Produkteinführung durchgeführte DSFAen, die vor allem den Zweck haben, der Öffentlichkeit und den Aufsichtsbehörden ein positives Bild zu vermitteln, indem bestimmte Probleme ausgeklammert werden. Dies kann etwa durch einen zu engen Fokus beim Prüfgegenstand wie die Ausklammerung technischer und organisatorischer Fragen und die Fokussierung auf rein rechtliche Fragestellungen erfolgen. Es darf allerdings nicht unerwähnt bleiben, dass eine DSFA (wie jedes formalisierte Verfahren) auch festlegt, was außerhalb des Bewertungsrahmens bleiben muss. Aus diesem Grund sind wissenschaftlich orientierte DSFAen z. B. für den Bereich der Forschung und Entwicklung sinnvoll, auch wenn sie die Anforderungen der DS-GVO an eine DSFA nicht unbedingt erfüllen. Sie ermöglichen es aber, Fragen des Datenschutzes in das Risikomanagement der Technikproduzenten und Systembetreiber zu integrieren. Damit kann eine in der Technikfolgenabschätzung häufig vermisste Balance zwischen dem Verlangen nach Normativität auf der einen und nach Operationalisierung auf der anderen Seite 100 hergestellt werden. White Paper Datenschutz-Folgenabschätzung 35 44

170 Anmerkungen Anmerkungen 1 Hallinan, D.; Friedewald, M. (2012): Public Perception of the Data Environment and Information Transactions: A selected-survey analysis of the European public s views on the data environment and data transactions. In: Communications and Strategies Nr. 88, S ( ). 2 Der Begriff des Angreifers ist im Kontext von Datenschutz und Informationssicherheit die gängige Bezeichnung für jeden Akteur, der absichtlich oder unabsichtlich die jeweiligen Schutzziele verletzt. Der Begriff beschränkt sich nicht nur auf unautorisierte externe Angreifer, die ein System vorsätzlich und häufig mit kriminellen Absichten angreifen. Gerade im Kontext des Datenschutzes entstehen Angriffe auf die Betroffenenrechte häufig aus dem bestimmungsgemäßen Betrieb eines Systems durch autorisierte Personen. 3 Rost, M. (2013): Zur Soziologie des Datenschutzes. In: DuD - Datenschutz und Datensicherheit 37, Nr. 2, S Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung). In: Amtsblatt der Europäischen Gemeinschaften L 119, Mai 2016, S Roßnagel, A. (1993): Rechtswissenschaftliche Technikfolgenforschung: Umrisse einer Forschungsdisziplin. Baden-Baden: Nomos, S Ausführlich zum Beispiel Roßnagel, A. (Hrsg.) (1989): Freiheit im Griff, Informationsgesellschaft und Grundgesetz. Stuttgart: Hirzel., S. 9ff.; Roßnagel, A. (1997): Rechtswissenschaftliche Technikfolgenabschätzung am Beispiel der Informations- und Kommunikationstechnik. In: Schulte, M.; Di Fabio, U. (Hrsg.): Technische Innovation und Recht, Antrieb oder Hemmnis? Heidelberg: C.F.Müller, S , hier S. 139ff.; Roßnagel, A. (1997): Verfassungsverträglichkeit der Informations- und Kommunikationstechniken. In: Westphalen, R. G. v. (Hrsg.): Technikfolgenabschätzung als politische Aufgabe, 3. Aufl. München und Wien: Oldenbourg, S , hier S. 266f. 7 Roßnagel, A. (1993): Rechtswissenschaftliche Technikfolgenforschung: Umrisse einer Forschungsdisziplin. Baden-Baden: Nomos, S. 47 mit weiteren Nachweisen; Grunwald, A. (2010): Technikfolgenabschätzung - eine Einführung. Berlin: Edition Sigma (Gesellschaft Technik Umwelt. Neue Folge, 1)., S. 67;Grunwald, A.; Hennen, L.; Sauter, A. (2014): Parlamentarische Technikfolgenabschätzung. In: Aus Politik und Zeitgeschichte (APuZ) 64, Nr. 6/7, S ( ). 8 Das Büro für Technikfolgen-Abschätzung beim Deutschen Bundestag wird seit 1990 vom Institut für Technikfolgenabschätzung und Systemanalyse (ITAS) des Karlsruher Instituts für Technologie (KIT) mit wechselnden Partnern betrieben. ( ). 9 ( ). 10 Grunwald, A. (2010): Technikfolgenabschätzung - eine Einführung. Berlin: Edition Sigma (Gesellschaft Technik Umwelt. Neue Folge, 1), S. 85ff. 11 Ebd., S. 82ff. 12 Roßnagel, A. (1983): Bedroht die Kernenergie unsere Freiheit: Das künftige Sicherungssystem kerntechnischer Anlagen. München: C. H. Beck; Zweck, A. (1993): Die Entwicklung der Technikfolgenabschätzung zum gesellschaftlichen Vermittlungsinstrument. Opladen: Westdeutscher Verlag (Studien zur Sozialwissenschaft, 128). Kuhlmann, S. (2013): Strategische und konstruktive Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt

171 Technikfolgenabschätzung. In: Simonis, G. (Hrsg.): Konzepte und Verfahren der Technikfolgenabschätzung. Wiesbaden: Springer VS, S Zum Beispiel Riehm, U.; Wingert, B. (1995): Multimedia - Mythen, Chancen und Herausforderungen. Mannheim: Bollmann. Ein Ein Überblick über Studien im europäischen Ausland findet sich in Gieguth, G.; Wingert, B. (1996). TA-Studien im Bereich Informationstechnologie - eine Auswertung von sechs Studien eurpäischer parlamentarischer TA-Einrichtungen. TAB-Arbeitsbericht 38. Bonn: Büro für Technikfolgen-Abschätzung bei Deutschen Bundestag. Mit den Fragen der Auswirkungen von Technikfolgen auf Rechtsnormen (einschließlich Freiheitsrechten und Folgen für die Demokratie) befasst sich zudem systematisch die rechtswissenschaftliche Technikfolgenforschung, Roßnagel, A. (1993): Rechtswissenschaftliche Technikfolgenforschung: Umrisse einer Forschungsdisziplin. Baden-Baden: Nomos Abs. 1 Nr. 1 Hessisches Datenschutzgesetz (HDSG). Im HDSG 1970 fand sich noch keine entsprechende Formulierung, in den Hessischen Datenschutzgesetzen 1978, 1986 sowie 1999 dann schon. Ähnlich auch 1 Abs. 1 Niedersächsisches Datenschutzgesetz (NDSG) 1978: Beeinträchtigung schutzwürdiger Belange der Betroffenen entgegenzuwirken. 15 Gemäß 1 Abs. 1 Nr. 2 HDSG. Im HDSG 1970 fand sich noch keine entsprechende Formulierung, in den Hessischen Datenschutzgesetzen 1978, 1986 sowie 1999 dann schon. Die Überwachung der Einhaltung obliegt dem Hessichen Landesdatenschutzbeauftragten, 23 Abs. 2, später 24 Abs. 2 HDSG. Ähnliche Wortlaute finden sich auch in anderen Datenschutzgesetzen, etwa in 1 Nr. 2 NDSG Zum Beispiel 6 Abs. 1 BDSG 1977; 10 Abs. 1 HDSG 1978; 6 Abs. 1 NDSG Such, M.; Fraktion Bündnis 90/Die Grünen (1997). Entwurf eines Bundesdatenschutzgesetzes (BDSG). Drucksache 13/9082 Bonn: Deutscher Bundestag, S. 9; dazu auch Weichert, T. (1999): Der Entwurf eines Bundesdatenschutzgesetzes von Bündnis 90/Die Grünen. In: Recht der Datenverarbeitung (RDV) 15, Nr. 2, S , hier S. 65f. 18 Siehe dazu Roßnagel, A.; Pfitzmann, A.; Garstka, H. (2001). Modernisierung des Datenschutzrechts. Gutachten im Auftrag des Bundesministeriums des Innern Berlin: Bundesministeriums des Innern. nmodernisierungdsrecht.pdf? blob=publicationfile ( ) Abs. 1 BDSG 1990 sowie Anmerkungen 20 1 Satz 1 NDSG Zum Beispiel 9 BDSG 1990 und 2003; 10 HDSG 1986; 10 Abs. 1, 2 HDSG Zum Begriff Verfahren und dessen Umfang vgl. Spindler, G.; Schuster, F.; Döpkens, H.-R. (2015): Recht der elektronischen Medien. 3. Aufl. München: Beck., 4d BDSG, Rn. 10. Zur Vorabkontrolle vgl. Voßbein, R. (2003): Vorabkontrolle gemäß BDSG, Anwendungsgebiete und Zusammenhang mit IT- SEC und CC. In: DuD - Datenschutz und Datensicherheit 27, Nr. 7, S , hier S. 427; Voßbein, R. (2002): Vorabkontrolle und Datenschutzaudit - Gemeinsamkeiten und Unterschiede. In: Recht der Datenverarbeitung (RDV) 18, Nr. 6, S , hier S. 322; Schild, H.-H. (2001): Meldepflichten und Vorabkontrolle. In: DuD - Datenschutz und Datensicherheit 25, Nr. 5, S , hier S Simitis, S. (2014): Kommentar zum Bundesdatenschutzgesetz. 8. Aufl. Baden- Baden: Nomos., 4d BDSG, Rn. 35. White Paper Datenschutz-Folgenabschätzung 37 44

172 Anmerkungen 24 Richtlinie 95/46/EG (1995): Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. In: Amtsblatt der Europäischen Gemeinschaften L 281, Nr. 23. November 1995, S Dammann, U.; Simitis, S. (1997): EG-Datenschutzrichtlinie, Kommentar. Baden- Baden: Nomos, Art 20, Rn Engelien-Schulz, T. (2003): Die Vorabkontrolle gemäß 4d Abs. 5 und Abs. 6 Bundesdatenschutzgesetz (BDSG). In: Recht der Datenverarbeitung (RDV) 19, Nr. 6, S , hier S. 271f., 274, dort insbesondere Fn. 25. Zur Umsetzung des Art. 20 DSRL in den einzelnen Mitgliedstaaten der Europäischen Union siehe Le Grand, G.; Barrau, E. (2012): Prior Checking, a Forerunner to Privacy Impact Assessments. In: Wright, D.; De Hert, P. (Hrsg.): Privacy Impact Assessment. Dordrecht, Heidelberg, London, New York: Springer (Law, Governance, and Technology, 6), S Engelien-Schulz, T. (2003): Die Vorabkontrolle gemäß 4d Abs. 5 und Abs. 6 Bundesdatenschutzgesetz (BDSG). In: Recht der Datenverarbeitung (RDV) 19, Nr. 6, S , hier S. 276ff. 28 Verfahren = Gesamtheit aller Verarbeitungsschritte zur Erfüllung eines Zwecks. Vgl. Nungesser, J. (Hrsg.) (2001): Hessisches Datenschutzgesetz, unter Berücksichtigung der EG-Datenschutzrichtlinie. Kommentar für die Praxis. Stuttgart: Deutscher Gemeindeverlag, 6 HDSG, Rn Wright, D.; De Hert, P. (2012): Introduction to Privacy Impact Assessment. In: Wright, D.; De Hert, P. (Hrsg.): Privacy Impact Assessment. Dordrecht, Heidelberg, London, New York: Springer (Law, Governance, and Technology, 6), S. 3-32, hier S. 8, jeweils mit weiteren Nachweisen. 30 Ebd., S. 9; Clarke, R. (2011): An Evaluation of Privacy Impact Assessment Guidance Documents. In: International Data Privacy Law 1, Nr. 2, S Bayley, R. M.; Bennett, C. J. (2012): Privacy Impact Assessments in Canada. In: Wright, D.; De Hert, P. (Hrsg.): Privacy Impact Assessment. Dordrecht, Heidelberg, London, New York: Springer (Law, Governance, and Technology, 6), S Edwards, J. (2012): Privacy Impact Assessment in New Zealand - A Practitioner's Perspective. In: Wright, D.; De Hert, P. (Hrsg.): Privacy Impact Assessment. Dordrecht, Heidelberg, London, New York: Springer (Law, Governance, and Technology, 6), S Bamberger, K. A.; Mulligan, D. K. (2012): PIA Requirements and Privacy Decisionmaking in US Government Agencies. In: Wright, D.; De Hert, P. (Hrsg.): Privacy Impact Assessment. Dordrecht, Heidelberg, London, New York: Springer (Law, Governance, and Technology, 6), S Clarke, R. (2012): PIAs in Australia: A Work-in-Progress Report. In: Wright, D.; De Hert, P. (Hrsg.): Privacy Impact Assessment. Dordrecht, Heidelberg, London, New York: Springer (Law, Governance, and Technology, 6), S ICO (Information Commissioner's Office) (2007). Privacy impact assessment handbook. Wilmslow: UK Information Commissioner's Office.; ersetzt durch ICO (Information Commissioner's Office) (2014). Conducting privacy impact assessments code of practice. Wilmslow: UK Information Commissioner's Office. ( ). Die britische Datenschutzaufsichtsbehörde empfiehlt PIA darüberhinaus in ihrem Datenschutz-Handbuch als Bestandteil des Privacy-by- Design-Ansatzes, ( ). Vgl. auch Warren, A.; Charlesworth, A. (2012): Privacy Impact Assessment in the UK. In: Wright, D.; De Hert, P. (Hrsg.): Privacy Impact Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt

173 Assessment. Dordrecht, Heidelberg, London, New York: Springer (Law, Governance, and Technology, 6), S Im Einzelnen Wright, D.; De Hert, P. (2012): Introduction to Privacy Impact Assessment. In: Wright, D.; De Hert, P. (Hrsg.): Privacy Impact Assessment. Dordrecht, Heidelberg, London, New York: Springer (Law, Governance, and Technology, 6), S. 3-32, hier S. 6f. Die Autoren verstehen PIA als Prozess, der die Technikentwicklung begleiten soll, bis diese einsatzfähig ist und dabei die betroffenen Beteiligten in die Bewertung mit einbindet. 37 Ein ausführlicher Vergleich ist nachzulesen in ebd., S. 17ff. Anmerkungen 38 ICO (Information Commissioner's Office) (2014). Conducting privacy impact assessments code of practice. Wilmslow: UK Information Commissioner's Office. ( ). 39 Ebd., S Ebd., S. 20f. 41 Ebd., S Ebd., S Ebd., S Ebd., S Ebd., S Ebd., S Ebd., S Ebd., S. 18f. 49 CNIL (Commission Nationale de l Informatique et des Libertés) (2015). Privacy Impact Assessment: Methodology (how to carry out a PIA). Paris. ( ). 50 CNIL (Commission Nationale de l Informatique et des Libertés) (2015). Privacy Impact Assessment: Tools (templates and knowledge bases). Paris. ( ). 51 CNIL (Commission Nationale de l Informatique et des Libertés) (2012). Measures for the Privacy Risk Treatment. Paris. ( ). 52 Europäische Kommission (2009): Empfehlung vom 12. Mai 2009 zur Umsetzung der Grundsätze der Wahrung der Privatsphäre und des Datenschutzes in RFIDgestützten Anwendungen. In: Amtsblatt der Europäischen Union vom , S ( ). 53 Europäische Kommission (2012): Empfehlung vom 9. März 2012 zu Vorbereitungen für die Einführung intelligenter Messsysteme. In: Amtsblatt der Europäischen Union vom , S ( ). 54 Artikel-29-Datenschutzgruppe (2010). Stellungnahme 5/2010 zum Vorschlag der Branche für einen Rahmen für Datenschutzfolgenabschätzungen für RFID- Anwendungen Arbeitspapier 00066/10/DE, WP 175. Brüssel. ( ); Artikel-29- Datenschutzgruppe (2013). Stellungnahme 07/2013 zum Muster für die Datenschutzfolgenabschätzung für intelligente Netze und intelligente Messsysteme, erstellt durch die Sachverständigengruppe 2 der Taskforce der White Paper Datenschutz-Folgenabschätzung 39 44

174 Anmerkungen Kommission für intelligente Netze Working Paper 2064/13/DE, WP 209. Brüssel. ( ). 55 Ebd., S Ebd., S. 7f. 57 Ebd., S Ebd. 59 Europäische Kommission (2012): Empfehlung vom 9. März 2012 zu Vorbereitungen für die Einführung intelligenter Messsysteme. In: Amtsblatt der Europäischen Union vom , S. 9-22, hier Punkt 5, S ( ). 60 Artikel-29-Datenschutzgruppe (2013). Stellungnahme 07/2013 zum Muster für die Datenschutzfolgenabschätzung für intelligente Netze und intelligente Messsysteme, erstellt durch die Sachverständigengruppe 2 der Taskforce der Kommission für intelligente Netze Working Paper 2064/13/DE, WP 209. Brüssel, S ( ). 61 Ebd., S. 6f. 62 Ebd., S. 7f. 63 Ebd., S. 12f. 64 Art. 38 DS-GVO 65 Das aus 2012 stammende Dokument bezieht sich insoweit selbstverständlich noch auf die Richtlinie 95/46/EG. Eine Anpassung an die DS-GVO ist jedoch zu erwarten. 66 Elemente des Risikomanagements waren allerdings implizit bereits in Art 17 und 20 der Richtlinie 95/46/EG formuliert. 67 So zum Beispiel Jan Philipp Albrecht, Verhandlungsführer des Europäischen Parlaments für die geplante Datenschutzverordnung. ( ). Ähnliche Bedenken formulierte die Artikel-29-Datenschutzgruppe (2014). Statement on the role of a risk-based approach in data protection legal frameworks. Working Paper 14/EN, WP 218. Brüssel. ( ). 68 AK Technik der Konferenz der Datenschutzbeauftragten des Bundes und der La nder; Schulz, G.; Rost, M. (2015). Das Standard-Datenschutzmodell - der Weg vom Recht zur Technik: Ein Datenschutzwerkzeug fu r Aufsichtsbeho rden und verantwortliche Stellen. over.pdf ( ). 69 Clarke, R. (2011): An Evaluation of Privacy Impact Assessment Guidance Documents. In: International Data Privacy Law 1, Nr. 2, S ; Wadhwa, K. (2012): Privacy impact assessment reports: a report card. In: Info - The Journal of policy, regulation and strategy for telecommunications, information and media 14, Nr. 3, S ; Wright, D.; Gellert, R.; Bellanova, R. et al. (2013). Privacy Impact Assessment and Smart Surveillance: A State of the Art Report. Deliverable 3.1. SAPIENT Project; Wright, D.; Wadhwa, K.; Lagazio, M. et al. (2014): Integrating privacy impact assessment in risk management. In: International Data Privacy Law 4, Nr. 2, S Wright, D.; Kroener, I.; Friedewald, M. et al. (2014). A guide to surveillance impact assessment - How to identify and prioritise for treatment risks arising from Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt

175 surveillance systems. Deliverable 4.4. SAPIENT Project. ( ). 71 Rost, M. (2013). Anforderungen an ein PIA aus Sicht einer Datenschutzaufsichtsinstanz. Handreichung Kiel: Unabhängiges Landesdatenschutzzentrum Schleswig-Holstein. 72 Stellvertretend sei hier das Privacy Impact Assessment genannt, das Anfang 2008 vom britischen Unternehmen Phorm in Auftrag gegeben wurde. Phorm ist ein Online-Werbeanbieter, der für seine Angebote Internet-Datenpaketen (sog. Deep Packet Inspection) untersuchte und Nutzerprofile erstellte. Der unter Fachleuten und Datenschutzbehörden kontrovers diskutierte DSFA-Bericht kam zu dem Schluss, Phorm verarbeite dabei überhaupt keine personenbezogenen Daten. Vgl. 80/20 Thinking Ltd. (2008). [Phorm] Privacy Impact Assessment. London. rts/phorm_pia_final.pdf ( ). 73 Wright, D.; Friedewald, M. (2013): Integrating privacy and ethical impact assessment. In: Science and Public Policy 40, Nr. 6, S ; Wright, D.; Friedewald, M.; Gellert, R. l. (2015): Developing and Testing a Surveillance Impact Assessment Methodology. In: International Data Privacy Law 5, Nr. 1, S von Schomberg, R. (2013): A vision of Responsible Research and Innovation. In: Owen, R.; Bessant, J. et al. (Hrsg.): Responsible Innovation. London: John Wiley, S ; Stahl, B. C. (2013): Responsible Research and Innovation: The Role of Privacy in an Emerging Framework. In: Science and Public Policy 40, Nr. 6, S Mitarbeiter sind als Vertreter der datenverarbeitenden Organisation als potenzielle und als Arbeitnehmer als potenzielle Betroffene zu betrachten. 76 Art. 3 DS-GVO Anmerkungen 77 Art. 6 DS-GVO 78 Für den öffentlichen Bereich in Art. 1 Abs. 2a DS-GVO-Rat; Beschränkungen der Betroffenenrechte in Art. 21 DS-GVO-Rat; Gesundheits- und Sozialbereich in Art. 9 Abs. 2 lit. h DSGVO-Rat oder auch Art. 80 ff. DS-GVO-Rat, um nur einige zu nennen. 79 Etwa dann, wenn delegierte Rechtsakte für die Kommission vorgesehen wurden, die aber ersatzlos entfallen sind, ohne die Voraussetzungen in der DS-GVO selbst zu regeln. 80 Rost, M. (2012): Standardisierte Datenschutzmodellierung. In: DuD - Datenschutz und Datensicherheit 35, Nr. 6, S Die Entwicklung erfolgte aufbauend auf den bereits etablierten Schutzzielen der IT-Sicherheit. U. a. zur Vermeidung von Begriffskollisionen ist in der deutschen Datenschutzkonferenz die offizielle Bezeichnung Gewährleistungsziele vereinbart worden. Dies entspricht dem materiellen Gehalt der Ziele als bei der Datenverarbeitung zu gewährleistende Maßgaben. 82 Rost, M.; Bock, K. (2011): Privacy by Design und die Neuen Schutzziele: Grundsätze, Ziele und Anforderungen. In: DuD - Datenschutz und Datensicherheit 35, Nr. 1, S ; Rost, M.; Pfitzmann, A. (2009): Datenschutz-Schutzziele revisited. In: DuD - Datenschutz und Datensicherheit 33, Nr. 6, S Hinweis: Das Standard-Datenschutzmodell (SDM), das den Kriterienkatalog für ein an Grundrechten orientiertes DPIA anliefert, weist Datensparsamkeit als ein eigenständiges, siebentes Gewährleistungsziel aus. 84 Zu den Interessen verschiedener Akteure an personenbezogenen Daten in der Arbeitswelt vgl. Hess, T.; Matt, C.; Morlok, T. (Hrsg.) (2015): Privatheit und Datenflut in der neuen Arbeitswelt Chancen und Risiken einer erhöhten Transparenz. Karlsruhe: Fraunhofer ISI (Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt). Zur Wertschöpfung in Datenmärkten vgl. Bründl, S.; White Paper Datenschutz-Folgenabschätzung 41 44

176 Anmerkungen Matt, C.; Hess, T. (2015). Wertschöpfung in Datenmärkten: Eine explorative Untersuchung am Beispiel des deutschen Marktes für persönliche Daten. Forschungsbericht. Karlsruhe: Fraunhofer ISI (Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt). Datenmaerkten_FP_3Sept15.pdf ( ). 85 BSI (Bundesamt für Sicherheit in der Informationstechnik) (2008). BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise (Version 2.0). Bonn. ( ). 86 Eine zusätzliche vierte Schadensklasse gering hat sich in der Praxis bewährt, wenn keinerlei Risiken zu erwarten sind. 87 Probst, T. (2012): Generische Schutzmaßnahmen für Datenschutz-Schutzziele. In: DuD - Datenschutz und Datensicherheit 36, Nr. 6, S Um nicht jedes Zeichen eines Datensatzes einzeln vergleichen zu müssen, werden Prüfsummen, sogenannte Hash-Werte gebildet und miteinander verglichen. Die dabei zum Einsatz kommenden mathematischen Funktionen haben Eigenschaften, die einen Schutz gegen bestimmte Angriffe bieten (Kollisionsresistenz) bieten und keine Rekonstruktion der Daten aus dem Hashwert ermöglichen (Einwegfunktionen). 89 Hansen, M.; Jensen, M.; Rost, M. (2015): Protection Goals for Privacy Engineering. In: Proceedings 2015 IEEE Security and Privacy Workshops (SPW 2015), San Jose, Calif., 21 May Los Alamitos, CA: IEEE Computer Society, S ; Roussopoulos, M.; Langheinrich, M.; Beslay, L. et al. (2008). Technologiebedingte Herausforderungen für den Datenschutz in Europa. Bericht der ENISA Ad-Hoc- Arbeitsgruppe zu Datenschutz und Technologie.Heraklion: ENISA ( ). 90 Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder; Schulz, G.; Rost, M. (2015). Das Standard-Datenschutzmodell: Konzept zur Datenschutzberatung und -prüfung auf der Basis einheitlicher Gewährleistungsziele (V0.9) Empfohlen von der 90. Konferenz der unabha ngigen Datenschutzbeho rden des Bundes und der La nder am 30. September und 1. Oktober 2015 in Darmstadt. ( ); Rost, M.; Bock, K. (2012): Impact Assessment im Lichte des Standard-Datenschutzmodells. In: DuD - Datenschutz und Datensicherheit 36, Nr. 10, S ISO/IEC (2009). Risk management Principles and guidelines. ISO/IEC 31000:2009(E). Genf: International Standardisation Organisation. 92 Das hier erläuterte Verfahren wurde im Rahmen des EU-Projekts SAPIENT entwickelt. Vgl. Wright, D.; Kroener, I.; Friedewald, M. et al. (2014). A guide to surveillance impact assessment How to identify and prioritise for treatment risks arising from surveillance systems. Deliverable 4.4. SAPIENT Project. Dieses basiert seinerseits auf einem Verfahren der französischen Datenschutzbehörde CNIL sowie einem Prozess, der im Auftrag der englischen Datenschutzbehörde ICO entwickelt wurde. Vgl. CNIL (Commission Nationale de l Informatique et des Libertés) (2015). Privacy Impact Assessment: Methodology (how to carry out a PIA). Paris. Methodology.pdf ( ); CNIL (Commission Nationale de l Informatique et des Libertés) (2015). Privacy Impact Assessment: Tools (templates and knowledge bases). Paris. ( ); Wright, D.; Wadhwa, K.; Lagazio, M. et al. (2013). Privacy impact Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt

177 assessment and risk management. Report for the Information Commissioner s Office. London: Trilateral Research & Consulting. 93 Finn, R. L.; Wright, D.; Friedewald, M. (2013): Seven types of privacy. In: Gutwirth, S.; Leenes, R. et al. (Hrsg.): European Data Protection: Coming of Age. Dordrecht: Springer, S Vgl. etwa Friedewald, M.; van Lieshout, M.; Rung, S. et al. (2015): Privacy and Security Perceptions of European Citizens: A Test of the Trade-off Model. In: Camenisch, J.; Fischer-Hübner, S. et al. (Hrsg.): Privacy and Identity Management for the Future Internet in the Age of Globalisation: 9th IFIP WG 9.2, 9.5, 9.6/11.7, 11.4, 11.6/SIG International Summer School, Patras, Greece, September 7-12, 2014, Revised Selected Papers. Heidelberg, Berlin: Springer (IFIP Advances in Information and Communication Technology, 457), S ; Lusoli, W.; Miltgen, C.; Compañó, R.; Maghiros, I. (2009). Young People and Emerging Digital Services: An Exploratory Survey on Motivations, Perceptions and Acceptance of Risks. JRC Scientific and Technical Reports EUR EN. Luxembourg: Office for Official Publications of the European Communities. ( ); Spiekermann, S. (2009): RFID and Privacy - What Consumers Really Want and Fear. In: Personal and Ubiquitous Computing 13, Nr. 6, S Steyaert, S.; Lisoir, H.; Nentwich, M. et al. (2006): Leitfaden partizipativer Verfahren: Ein Handbuch für die Praxis. Wien: Österreichische Akademie der Wissenschaften. 96 Ein umfangreicher Katalog möglicher Schutzziele und Bewertungskriterien findet sich im Anhang von Wright, D.; Kroener, I.; Friedewald, M. et al. (2014). A guide to surveillance impact assessment How to identify and prioritise for treatment risks arising from surveillance systems. Deliverable 4.4. SAPIENT Project. 97 Zur möglichst umfassenden Identifikation aller relevanten Risiken können ebenfalls unterschiedliche Methoden genutzt werden, die vom Abgleich existierender Risikokategorien/-listen bis zu Kreativtechniken reichen können. 98 Ein momentan (Dezember 2015) verhandelter ISO-Standard gibt eine mögliche Gliederung des DSFA Berichts vor und legt auch die Minimalanforderungen an den Kurzbericht fest. Vgl. ISO/IEC (2016). Information technology - Security techniques - Privacy impact assessment - Guidelines. ISO/IEC Geneva, Switzerland: International Standardisation Organisation. 99 Collingridge, D. (1980): The social control of technology. London: Pinter; Liebert, W.; Schmidt, J. C. (2010): Collingridge s dilemma and technoscience. In: Poiesis & Praxis 7, Nr. 1-2, S Grunwald, A. (1999): Technology Assessment or Ethics of Technology? Reflections on Technology Development between Social Sciences and Philosophy. In: Ethical Perspectives 6, Nr. 2, S Anmerkungen White Paper Datenschutz-Folgenabschätzung 43 44

178 Abkürzungsverzeichnis AEUV BDSG BSI DPIA DS-GVO DSFA DSRL EU HDSG ISO NDSG PIA SDM TA Vertrag über die Arbeitsweise der Europäischen Union Bundesdatenschutzgesetz Bundesamt für Sicherheit in der Informationstechnik Data Protection Impact Assessment Datenschutz-Grundverordnung Datenschutz-Folgenabschätzung Datenschutzrichtlinie (Richtlinie 95/46/EG) Europäische Union Hessisches Datenschutzgesetz International Standards Organisation Niedersächsisches Datenschutzgesetz Privacy Impact Assessment Standard-Datenschutzmodell Technikfolgenabschätzung Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt

179 IMPRESSUM Kontakt: Michael Friedewald Geschäftsfeldleiter Informations- und Kommunikationstechnik Telefon Fax Fraunhofer-Institut für System- und Innovationsforschung ISI Breslauer Straße Karlsruhe Schriftenreihe: Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt ISSN-Print ISSN-Internet Auflage: 250 Stück Mai 2016 Druck Stober GmbH Druck und Verlag, Eggenstein Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung Nicht kommerziell Keine Bearbeitungen 4.0 International Lizenz.

180 PROJEKTPARTNER