Datenschutzrecht

„Verantwortlicher“ im Sinne der Legaldefinition ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zweckeund Mittel der Verarbeitung von personenbezogenen Datenentscheidet.

Der Begriff der Verarbeitung ist sehr weit gefasst. Nach  Art. 4 Nr. 2 DSGVO bezeichnet „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Zu den Grundsätzen der ordnungsgemäßen Verarbeitung von personenbezogenen Daten gehören gemäß  Art. 5 DSGVO:

• Sicherstellung einer transparenten, nachvollziehbaren und rechtskonformenDatenverarbeitung,
• Zweckbindung zwischen Erhebung und Verarbeitung,
• Beschränkung der Verarbeitung auf das notwendige Maß (Datenminimierung),
• Berichtigung oder Löschung unrichtiger Daten (Datenrichtigkeit),
• Begrenzung der Speicherung auf den erforderlichen Zeitraum
• Gewährleistung der Sicherheit der Daten gegenüber unrechtmäßiger Verarbeitung oder Verlust.

Jeder Verantwortliche ist gem. Art. 30 Abs. 1 DSGVO zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten verpflichtet. Dieses Verzeichnis ist der zentrale Bestandteil der Datenschutzdokumentation und listet alle Verarbeitungen von personenbezogenen Daten im Unternehmen auf. Das Verzeichnis muss dabei die folgenden Angaben enthalten:

• Name und Kontaktdaten des Verantwortlichen
• Name und Kontaktdaten des Datenschutzbeauftragten
• Zweck der Verarbeitung
• Beschreibung der Kategorien betroffener Personen
• Beschreibung der Kategorien personenbezogener Daten
• Aufzählung der Empfänger der personenbezogenen Daten
• Fristen für die Löschung der personenbezogenen Daten
• allgemeine Beschreibung der technischen und organisatorischen Maßnahmen

In jedem Unternehmen, welches Mitarbeiter beschäftigt und Dienstleistungen für Dritte erbringt, finden sich üblicherweise die nachfolgenden Zwecke der Verarbeitung, welche in Ihr Verarbeitungsverzeichnis eingepflegt werden müssen.

• Finanzbuchführung
• Lohnbuchführung
• Mitarbeiterstammdaten
• Bewerbermanagement
• Kundenstammdaten
• Angebote an Kunden
• Archivierung
• Dienstreisen
• Anwesenheitsübersicht
• Terminkalender
• Krankenstatistik
• Videoüberwachung
• Geburtstagsliste von Kollegen
• Geburtstagsliste von Kunden

Werden personenbezogene Daten im Auftrag des Verantwortlichen durch andere natürliche oder juristische Personen, Behörden, Einrichtungen oder Stellen verarbeitet, liegt eine Auftragsverarbeitung i. S. v. Art. 8 Abs. 1 DSGVO vor. Voraussetzung hierfür ist, dass die andere Stelle den Weisungen des Auftraggebers unterworfen ist und keine eigene Entscheidungsbefugnis darüber besitzt, wie sie mit den zur Verfügung gestellten Daten umgeht. Um die Einhaltung des Datenschutzes beidseitig sicher zu stellen, hat der Gesetzgeber in  Art. 28 Abs. 3 DSGVO vorgeschrieben, dass ein entsprechender Vertrag oder ein anderes Rechtsinstrument geschaffen werden muss. Dabei sind die dort genannten Mindestinhalte zu erfüllen.

Dazu gehören:

• Gegenstand/Dauer des Auftrags;
• Umfang, Art und Zweck der Datenverarbeitung;
• welche Art von Daten betroffen ist;
• die Angabe der Kategorien betroffener Personen;
• die Gewährleistung der Betroffenenrechte;
• Rechte und Pflichten des Auftraggebers;
• der Umfang der Weisungsbefugnisse des Auftraggebers;
• die Kontrollrechte des Auftraggebers inkl. der Duldungs- und Mitwirkungsrechte des Auftragsverarbeiters;
• die Pflichten des Auftragnehmers;
• das Recht des Auftragnehmers zum Einsatz von Subunternehmern;
• die Regelung wie und in welcher Form Verstöße mitzuteilen sind bis hin zur Regelung, wie Datenträger zurückgegeben werden müssen.

Nicht jede Verarbeitung von personenbezogenen Daten erfordert einen Auftragsverarbeitungsvertrag. Ein solcher Vertrag ist nur notwendig, wenn der Schwerpunkt der Tätigkeit des Beauftragten in der Datenverarbeitung liegt. Hiervon ausgenommen sind Firmen, die eine fachfremde Leistung erbringen oder eine Tätigkeit der Berufsgeheimnisträger wie Steuerberater, Rechtsanwälte, externe Betriebsärzte und Wirtschaftsprüfer.

Keine Auftragsverarbeitungsverträge werden benötigt für:

• Bankinstitute für den Geldtransfer,
• Postdienste für den Brief- oder Pakettransport,
• Tätigkeit als WEG-Verwalter,
• Zahlungsdienstleister für elektronische Zahlungen (Transport von Zahlungsdaten, Geldwäsche- und Betrugsprüfung nach ZAG und den Mindestanforderungen der BaFin).

Nach der jüngsten Entscheidung des EuGH (vom 11.11.2020-C 61/19) sind Art.  2 lit. h u. Art.  7 lit. a DS-RL sowie Art.  4 Nr.  11 u. Art.  6 Abs.  1 lit. a DSGVO dahin gehend auszulegen, dass es dem für die Verarbeitung von Daten Verantwortlichen obliegt, nachzuweisen, dass die betroffene Person ihre Einwilligung in die Verarbeitung ihrer personenbezogenen Daten durch aktives Verhalten bekundet hat und dass sie vorher eine Information über alle Umstände im Zusammenhang mit dieser Verarbeitung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erhalten hat, die sie in die Lage versetzt, die Konsequenzen dieser Einwilligung leicht zu ermitteln, sodass gewährleistet ist, dass die Einwilligung in voller Kenntnis der Sachlage erteilt wird. Daraus ergeben sich folgende Grundsätze:

Freiwilligkeit / Informiertheit / Bestimmtheit

Deshalb müsste der betroffenen Person auch immer mitgeteilt werden, dass sie diese Einwilligung jederzeit widerrufen kann. 

Ferner ist das Kopplungsverbot zu beachten. Das bedeutet, dass die Einwilligung auch nicht von der Erfüllung eines Vertrages bzw. die Erbringung einer Dienstleistung abhängig gemacht werden, Art. 7 Nr. 4 DSGVO.

Mit der Datenschutzgrundverordnung wurde auch ein neuer, unionsrechtlicher Anspruch auf materiellen und/oder immateriellen Schadensersatz gemäß Art. 82 DSGVO geschaffen.

Dieser Schadensersatz richtet sich gegen den sogenannten Verantwortlichen und den Auftragsverarbeiter. Besonders zu beachten ist, dass der Verantwortliche grundsätzlich für sämtliche Verordnungsverstöße bei der durch ihn veranlassten Datenverarbeitung, mithin auch für einen Verstoß seines Auftragsverarbeiters haftet. Anders als im deutschen Schadensrecht kann sich der Verantwortliche nicht für die Fehlleistungen seines Auftragsverarbeiters exkulpieren, d.h. entlasten.

Weiterhin ist auch eine gemeinsame Inanspruchnahme des Verantwortlichen und Auftragsverarbeiters als Gesamtschuldner möglich.

Besonders wichtig ist der Umstand, dass der Verantwortliche nicht nur für materielle, sondern auch immaterielle Schäden haftet. Bislang wurde ein immaterieller Schadensersatz in Deutschland nur äußerst zurückhaltend gewährt, dies könnte sich nun mit europäischer Gesetzgebung ändern.

Der Wortlaut des Gesetzes lässt vermuten, dass bereits der bloße Verstoß gegen die DSGVO ausreicht, um einen solchen Anspruch zu begründen. Dies wird aber derzeit von deutschen Gerichten nicht so gesehen. Wie das Gesetzes zu verstehen ist, wird sich erst im Laufe der nächsten Jahre durch die Rechtsprechung des Europäischen Gerichtshofes zeigen.

Im Moment führt der bloße Datenverlust regelmäßig noch nicht zu einem nachweisbaren materiellen Schaden. Aus diesem Grund wird das Schadensrisiko in diesem Segment derzeit als gering eingestuft.

Anders verhält es sich mit dem immateriellen Schaden. Bisher verlangen die deutschen Gerichte für einen solchen Schadensersatz, dass dem Betroffenen ein spürbarer Nachteil entstanden sein und eine objektiv nachvollziehbare , mit gewissen Gewicht erfolgte Beeinträchtigung von persönlichen Belangen einhergehen muss, d.h. dass der Betroffene eine spürbare Beeinträchtigung erfahre. Für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung bzw. für jede bloß individuell empfundene Unannehmlichkeit ist kein Schmerzensgeld zu gewähren.

Die DSGVO nennt zur näheren Konkretisierung in den Erwägungsgründen 75 und 85 etwa die Diskriminierung oder Rufschädigung. Das OLG Dresden hat in einer richtungsweisenden Entscheidung auch einen immateriellen Schadensersatz zugesprochen, wenn der „datenschutzrechtliche Verstoß eine Vielzahl von Personen in gleicher Weise betrifft und Ausdruck einer bewussten, rechtswidrigen und im großen Stil betriebenen Kommerzialisierung“ ist.

Im Hinblick auf die Höhe des zugesprochenen Schadensersatzes betrug dieser für die Verletzung des § 823 Abs. 1 BGB im Zusammenhang mit einer Verletzung des Persönlichkeitsrechtes vielfach nur bis zu Euro 7.000. Im Bereich des immateriellen Schadensersatzes wurden größtenteils nicht mehr als Euro 1.000 zugesprochen.

Aber besonders im Bereich der Bemessung des Schmerzensgeldes wird eine Veränderung der Rechtssprechung erwartet. Es ist davon auszugehen, dass die Gerichte, ähnlich wie in anderen europäischen Ländern, auf der Grundlage der Verordnung vor dem Hintergrund des Effektivitätsgrundsatzes deutlich höhere Schadensummen zu sprechen.

Schließlich sollte beachtet werden, dass zur vereinfachten, gerichtlichen Durchsetzung dieser Schadensersatzansprüche der Gerichtsstand am Ort der Niederlassung des Verantwortlichen/ Auftragsverarbeiters oder das Gerichts am gewöhnlichen Aufenthaltsort des Betroffenen ist.

Insgesamt wird unter der Rechtsprechung des Europäischen Gerichtshofes die Durchsetzung solcher Ansprüche für den Betroffenen tendenziell erleichtert.