Kapitel
Bild: MEV-Verlag, Germany

Bei der Datenverarbeitung bedienen sich viele regelmäßig der Unterstützung durch verschiedene Dienstleister. Damit ist die Frage aufgeworfen, ob und inwieweit diese Konstellationen der sog. Auftragsdatenverarbeitung auch unter dem neuen Datenschutzrecht rechtlich zulässig sind und welche Vorkehrungen insofern zu treffen sind.

Welche Datenverarbeitungen fallen in den Anwendungsbereich der DSGVO?

Wie schon das BDSG-alt, definiert auch die DSGVO einen sachlichen und einen räumlichen Anwendungsbereich. Anwendbar ist die DSGVO, soweit eine Datenverarbeitung sowohl in den sachlichen als auch den räumlichen Anwendungsbereich fällt.

a. Sachlicher Anwendungsbereich (Art. 2 DSGVO):

Die DSGVO hält bzgl. der sachlichen Anwendbarkeit grundsätzlich an den Regelungen der DS-RL fest.

Nach Art. 2 Abs. 1 gilt die DSGVO für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten. Zudem ist die DSGVO sachlich auch auf die nicht automatisierte Verarbeitung anwendbar, wenn diese Daten in einem Dateisystem gespeichert sind oder zukünftig gespeichert werden sollen. Die reine Speicherungsabsicht genügt somit für die Anwendbarkeit der DSGVO. Für bestimmte Verarbeitungen befindet sich in Art. 2 Abs. 2 DSGVO jedoch ein Rückausschluss. Unter anderem unterfallen daher rein private oder familiäre Angelegenheiten (Art. 2 Abs. 2 lit. c DSGVO), oder Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen (Art. 2 Abs. 2 lit. a DSGVO) nicht dem sachlichen Anwendungsbereich der DSGVO.

Nach wie vor kommt es entscheidend darauf an, ob die zu verarbeitenden Daten einen Personenbezug aufweisen. Definiert wird der Begriff der "personenbezogenen Daten" in Art. 4 Nr. 1 DSGVO, wobei die Definition dem bisherigen Verständnis entspricht.

b. Räumlicher Anwendungsbereich (Art. 3 DSGVO)

Eine wesentliche Neuerung besteht hinsichtlich des räumlichen Anwendungsbereichs: Nach der DSGVO werden nunmehr auch Datenverarbeiter erfasst, welche außerhalb der EU niedergelassen sind, soweit sie personenbezogene Daten von Personen verarbeiten, welche sich in der Union aufhalten (sog. Marktortprinzip). Der räumliche Anwendungsbereich der DSGVO wird somit – gegenüber der bisherigen Rechtslage – erweitert.

Der räumliche Anwendungsbereich der DSGVO umfasst:

  • Datenverarbeitungen durch einen Verantwortlichen oder Auftragsverarbeiter (die Erstreckung des räumlichen Anwendungsbereichs auch auf diesen ist ebenfalls eine Neuerung), welcher eine Niederlassung in der EU besitzt und im Rahmen der Tätigkeit dieser Niederlassung personenbezogene Daten verarbeitet (Art. 3 Abs. 1 DSGVO).
  • Datenverarbeitungen, die im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen stehen, welche sich an eine Person in der EU richten.
  • Datenverarbeitungen, die im Zusammenhang damit stehen, das Verhalten Betroffener, sich in der Union aufhaltender Personen zu beobachten. Nach ErwG. 24 S. 2 DSGVO ist hiervon umfasst insbesondere das datenbasierte Nachvollziehen der Aktivitäten des Betroffenen im Internet (bspw. im Rahmen des sog. "tracking").

Welche Regelungen gelten für besondere Verarbeitungssituationen?

Die DSGVO kennt einige Datenverarbeitungen, für die besondere Regelungen gelten. Zu nennen sind hier insbesondere die Verarbeitung sensibler Daten, die zweckändernde Verarbeitung und die Regelungen zum Profiling (Verbot der automatisierten Einzelfallentscheidung).

a. Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO)

Die Verarbeitung besonderer Kategorien personenbezogener Daten unterliegt – wie bisher – besonders strengen Regelungen.

Der Begriff der "besonderen personenbezogener Daten" wird in der DSGVO nicht gesetzlich definiert, jedoch durch die Aufzählung besonderer Datenkategorien umschrieben. Hierzu zählen: Genetische und biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten und Daten zur sexuellen Orientierung bzw. zum Sexualleben einer natürlichen Person sowie Daten, aus denen die politische Meinung, religiöse oder weltanschauliche Überzeugung oder die Gewerkschaftszugehörigkeit einer Person hervorgehen.

Eine Verarbeitung dieser Daten ist nur in Ausnahmefällen möglich. Diese Ausnahmefälle sind in Art. 9 Abs. 2 DSGVO abschließend aufgelistet.

b. Zweckändernde Verarbeitung (Art. 6 Abs. 4 DSGVO)

Die Verarbeitung zu anderen als den ursprünglichen Erhebungszwecken ist anders geregelt als im BDSG-alt. Geregelt ist die Zulässigkeit einer solchen zweckändernden Verarbeitung in Art. 6 Abs. 4 DSGVO.

Danach ist eine Datenverarbeitung zu anderen Zwecken zunächst zulässig, soweit der Betroffene in eine Weiterverarbeitung zu anderen als den ursprünglichen Zwecken eingewilligt hat bzw. soweit sich der Datenverarbeiter für diese zweckändernde Verarbeitung auf eine Rechtsvorschrift der Union oder eines Mitgliedsstaates berufen kann.

Ist dies nicht gegeben, so ist eine Verarbeitung zu anderen als den ursprünglichen Zwecken nur zulässig, soweit der neue Zweck mit dem ursprünglichen "vereinbar“ ist. Die DSGVO liefert dabei in Art. 6 Abs. 4 einen beispielhaften Kriterienkatalog, welche Umstände im Rahmen dieser Vereinbarkeitsprüfung zu berücksichtigen sind.

c. Verbot der automatisierten Einzelentscheidung (Profiling) (Art. 22 DSGVO)

Besonderheiten gelten auch für eine automatisierte Datenverarbeitung, welche als ausschließliche Grundlage einer Entscheidung dienen soll. Gemeint ist hiermit insb. das Profiling. Nach Art. 22 DSGVO ist eine solche Einzelfallentscheidung, die ausschließlich auf einer automatisierten Datenverarbeitung beruht und den Betroffenen beeinträchtigen kann, grundsätzlich unzulässig. Erforderlich ist dann also stets die Einbindung einer menschlichen Beurteilung in den Entscheidungsprozess.

DSGVO Neuerungen im Rahmen einer Auftragsdatenverarbeitung

Die Auftragsverarbeitung ist in der DSGVO insb. in den Art. 28 f. DSGVO geregelt. Einzelne andere Normen enthalten jedoch ebenfalls Bestimmungen, die im Rahmen der Auftragsverarbeitung Relevanz aufweisen.

Der Begriff des Auftragsverarbeiters i.S.d. DSGVO ist gegenüber dem Begriff des Auftragsdatenverarbeiters i.S.d. BDSG-alt weiter zu verstehen. Nach der Definition in Art. 4 Nr. 7 DSGVO ist wesentliches Abgrenzungsmerkmal zum Verantwortlichen, wer über die Zwecke und Mittel der Datenverarbeitung entscheidet.

Die Pflichten im Auftragsverhältnis haben sich teilweise geändert. Der Auftragsverarbeiter wird für seinen Verantwortungsbereich stärker in die Pflicht genommen. So hat er bspw. eigene Dokumentationspflichten (vgl. Art. 30 Abs. 2 DSGVO), muss ggf. selbst einen Datenschutzbeauftragten bestellen (vgl. Art. 37 Abs. 1 DSGVO) und haftet bei Datenverstößen unter Umständen (auch) direkt gegenüber den Betroffenen (vgl. Art. 82 DSGVO).

Schlagworte zum Thema:  Datenschutz-Grundverordnung, Datenschutz-Management, Compliance-Management, Compliance-Beauftragter, EU-Datenschutzverordnung, IT-Compliance, Compliance, Compliance-Manager, Compliance-Organisation

Aktuell
Meistgelesen