Скачать книгу

jedoch nichts. Auswirkungen hat das Vorliegen einer Unternehmensgruppe aber bei der nach Art. 6 Abs. 1 Satz 1 lit. f DSGVO notwendigen Interessenabwägung im Rahmen der Entscheidung, ob ein Erlaubnistatbestand greift. Hierzu legt ErwG 48 DSGVO fest, dass die Übermittlung von Daten innerhalb einer Unternehmensgruppe ein berechtigtes Interesse darstellt. Diese Feststellung wird auch als „kleines Konzernprivileg“ bezeichnet.

images/praxistipp.png Praxistipp
Das aus dem Aktienrecht bekannte Konzernprivileg {Konzernprivileg} war im deutschen Datenschutzrecht bisher nicht anerkannt. Mit der DSGVO wird der Datenaustausch im Konzern auf der Grundlage von Einwilligungen (Art. 7 DSGVO) oder dem Instrument der Auftragsverarbeitung (Art. 28 DSGVO) erschwert, allerdings durch Art. 6 Abs. 1 DSGVO auch erleichtert. Der konzerninterne Datenaustausch kann als „berechtigtes Interesse“ angesehen werden. Der ErwG 48 DSGVO erkennt für den Konzern „interne Verwaltungszwecke“ als ein berechtigtes Interesse an, welches allerdings entsprechend zu belegen und zu dokumentieren ist.

      Begriffsbestimmung

      Die Anonymisierung {Anonymisierung} ist das Verändern personenbezogener Daten derart, dass diese Daten nicht mehr einer Person zugeordnet werden können. Bei der Pseudonymisierung {Pseudonymisierung} wird der Name oder ein anderes Identifikationsmerkmal durch ein Pseudonym (zumeist eine mehrstellige Buchstaben- oder Zahlenkombination, auch Code genannt) ersetzt, um die Feststellung der Identität der betroffenen Person auszuschließen (vgl. § 3 Abs. 6a BDSG a. F. bzw. § 46 Nr. 5 BDSG).

      Die DSGVO kennt den Begriff Anonymisierung nicht. Gleichwohl können personenbezogene Daten anonymisiert werden, um damit den Schutz der personenbezogenen Daten zu gewährleisten. Es ist nachvollziehbar, warum die DSGVO diesen Begriff nicht (mehr) regelt: Mit anonymisierten Daten ist eine natürliche Person nicht mehr identifizierbar.

      Kapitel II – Grundsätze

      Neben den Regelungen zur Rechtmäßigkeit und zu den Erlaubnisvorbehalten finden sich in Artt. 5–11 DSGVO Regelungen zur Datensparsamkeit, Transparenz und Einwilligung.

      Kapitel III – Rechte der betroffenen Person

      In Kap. III sind alle Rechte der betroffenen Person (Dreieck Kap. 6.1) zusammengefasst. Diese gliedern sich in die folgenden Abschnitte:

Artt. 12–15 DSGVO: Transparenz, Informationspflicht, Recht auf Auskunft
Artt. 16–20 DSGVO: Berichtigung und Löschung
Artt. 21–22 DSGVO: Widerspruchsrecht
Art. 23 DSGVO: Beschränkungen

      Das „Recht auf Datenübertragbarkeit“ (Datenportabilität {Datenportabilität}; Dreieck Kap. 6.1.8), das es erst seit der DSGVO gibt, stärkt die Rechte der betroffenen Person.

      Der Grundgedanke der Datenübertragbarkeit ist, dass eine betroffene Person, wenn sie es wünscht, von dem Verantwortlichen die personenbezogenen Daten, die sich auf sie beziehen, erhält. Sie soll dadurch die Möglichkeit erhalten, diese Daten in das Verarbeitungssystem eines anderen Verantwortlichen übertragen zu können bzw. diese direkt zwischen den Verantwortlichen übertragen zu lassen.

      Kapitel IV – Verantwortlicher und Auftragsverarbeiter

      In Kap. IV sind die Rechte und Pflichten der Unternehmen im Rahmen der Verarbeitung von personenbezogenen Daten geregelt. Diese gliedern sich in die folgenden Abschnitte:

Artt. 24–31 DSGVO: Verantwortliche und Auftragsverarbeiter
Artt. 32–34 DSGVO: Sicherheit personenbezogener Daten
Artt. 35–36 DSGVO: Datenschutz-Folgenabschätzung
Artt. 37–39 DSGVO: Datenschutzbeauftragter
Artt. 40–43 DSGVO: Verhaltensregeln und Zertifizierungen

      Hier ist insbesondere der Art. 28 DSGVO hervorzuheben, welcher die Bedingungen für die Verarbeitung im Auftrag regelt (sog. Auftragsverarbeitung). Des Weiteren sollte der Art. 32 DSGVO – Sicherheit der Verarbeitung (ErwG 83 DSGVO) beachtet werden. Personenbezogene Daten bedürfen demnach eines technischen und organisatorischen Schutzes.

      Kapitel V – Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen

      Das Kap. V dient vorrangig der Verbesserung und Konkretisierung der bisherigen europäischen Rechtslage zum Datentransfer in ein Drittland. Hier ist insbesondere der folgende Abschnitt zu nennen:

Artt. 44–50 DSGVO: Übermittlung personenbezogener Daten an Drittländer

      Das vorgegebene hohe Datenschutzniveau innerhalb der EU soll auch bei einer Übermittlung in ein Drittland gewährleistet und nicht unterlaufen werden können.

      Kapitel VI – Unabhängige Aufsichtsbehörden

      Die Aufsichtsbehörden der EU sind unabhängige Behörden (Art. 8 Abs. 3 GRCh und Art. 16 Abs. 2 AEUV). In Kap. V sind die folgenden Abschnitte relevant:

Artt. 51–59 DSGVO: Unabhängige Aufsichtsbehörden

      Die Anwendung und Kontrolle der DSGVO bleibt in der Zuständigkeit von mitgliedstaatlichen Behörden. Des Weiteren verpflichtet das Kap. VI die Aufsichtsbehörden für Datenschutz zur Zusammenarbeit. Die konkrete Ausgestaltung der Behörden überlässt die Verordnung den EU-Mitgliedstaaten.

      Kapitel VII – Zusammenarbeit und Kohärenz

      In diesem Kapitel wird die Zusammenarbeit der Aufsichtsbehörden geregelt, u. a. auch die gegenseitige Amtshilfe, gemeinsame Maßnahmen sowie der Informationsaustausch untereinander. Die detaillierten Beschreibungen finden sich hier:

Artt. 60–76 DSGVO: Zusammenarbeit und Kohärenz

      Eine fundamentale Neuerung der DSGVO ist der sog. One-Stop-Shop {One-Stop-Shop}-Mechanismus. Für Unternehmen, die eine oder mehrere unselbstständige Niederlassungen in der EU haben, ist bei der grenzüberschreitenden Datenverarbeitung nur die Aufsichtsbehörde der Hauptniederlassung oder einzigen Niederlassung in der EU zuständig (Dreieck Kap. 1.2).

      Kapitel VIII – Rechtsbehelfe, Haftung und Sanktionen

      Kapitel VIII regelt das Recht der Beschwerde einer betroffenen Person bei einer Aufsichtsbehörde, zu finden unter:

Artt. 77–84 DSGVO: Rechtsbehelfe, Haftung und Sanktionen

      Das Beschwerderecht ist dem Petitionsrecht (Art. 17 GG) wesensgleich. Des Weiteren wird hier das Verbandsklagerecht geregelt (in Deutschland: Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (UKlaG)).

      Kapitel IX – Vorschriften für besondere Verarbeitungssituationen

Mit Art. 85 DSGVO wurde eine Öffnungsklausel geschaffen, die einen weitreichenden Regulierungsspielraum zum Schutz der Meinungs- und Informationsfreiheit eröffnet.

Скачать книгу