In welchen Sprachen muss ein europaweit agierendes Unternehmen mit Hauptsitz in Sachsen nach der DS-GVO zu erstellende Dokumente erstellen bzw. vorhalten?
Die Sprache, in der nach der DS-GVO gebotene Informationen und Dokumentationen vorzuhalten sind, richtet sich nach dem jeweiligen Adressaten bzw. Zweck:
Alle verarbeitungsbezogenen Informationen, die sich an Betroffene richten bzw. (jedenfalls auch) für diese bestimmt sind oder etwaige nach der DS-GVO sonst gebotene Kommunikation mit Betroffenen, hat auch in deren jeweiliger Sprache zu erfolgen. Dies folgt aus dem Transparenzgebot von Art. 5 Abs. 1 lit. a DS-GVO, beschränkt sich aber auf den Kreis typisierbarer (gemeinhin erwartbarer) Betroffener und deren Sprache. Gemeinhin darf also ein Verantwortlicher erwarten, dass jene Sprache genügt, die nach der Verkehrssitte, dem Geschäftsbereich oder dem Geschäftsmodell üblicher Weise von Betroffenen gesprochen wird, etwa weil sie sich wegen ihres Wohnsitzes oder des Adressatenkreises eines Angebots einer Verkehrs- oder Amtssprache zurechnen lassen.
Darüber hinaus für interne oder für Zwecke der Kontrolle vorgehaltene Informationen oder Dokumentationen können in jeder Amtssprache der Union gefasst sein, solange – notfalls unter Beibringung einer im Rechtsverkehr aussagekräftigen Übersetzung – sie in der nach dem Recht der Mitgliedstaaten gebotenen Verfahrenssprache (hier wegen § 23 Abs. 1 Verwaltungsverfahrensgesetz ‚deutsch‘) der zuständigen Aufsicht ohne besonderen zeitlichen Verzug zugänglich sind.
Wann liegt bei einer IT-Wartung ein Fall der Auftragsverarbeitung nach Art. 28 DS-GVO vor?
Ist die IT-Wartung oder Fernwartung (z. B. Prüfung von Speicher-Dumps, Support-Arbeiten in Systemen des Auftraggebers usw.) Gegenstand des Vertrages zwischen einem Verantwortlichem und einem Auftragsverarbeiter und besteht in diesem Rahmen für den Auftragsverarbeiter die Notwendigkeit oder Möglichkeit des Zugriffs auf personenbezogene Daten, so handelt es sich im Hinblick auf die weite Definition einer Verarbeitung in Art. 4 Nr. 2 DS-GVO (z. B. Auslesen, Abfragen, Verwenden) um eine Form bzw. Teiltätigkeit einer Auftragsverarbeitung, sodass die Anforderungen des Art. 28 DS-GVO – wie etwa der Abschluss eines Vertrages zur Auftragsverarbeitung – entsprechend umzusetzen sind. Anders ist dies bei einer rein technischen Wartung der Infrastruktur einer IT durch Dienstleister (z. B. Arbeiten an Stromzufuhr, Kühlung, Heizung), die nicht zu einer Qualifikation des Dienstleisters als Auftragsverarbeiter und einer Anwendung von Art. 28 DS-GVO führen.
Grundsätzlich sehe ich derzeit insoweit keine wesentlichen Unterschiede zur aktuellen Rechtslage bzw. Einordnung. Bestehende Verträge können nur dann fortgelten, wenn sie den Anforderungen der DS-GVO entsprechen oder darüber hinausgehen, andernfalls sind sie neu abzuschließen.
Wie vereinbart sich das Recht auf Löschung („Recht auf Vergessenwerden“) mit gesetzlichen Aufbewahrungsfristen?
Gesetzliche Aufbewahrungsfristen (z. B. nach AO, HGB) gehen datenschutzrechtlichen Löschpflichten vor. Soweit solche Aufbewahrungsfristen bestehen, dürfen personenbezogene Daten nicht gelöscht werden (Art. 17 Abs. 3 lit. b DS-GVO).
Welche Art von Weiterbildungen muss der Datenschutzbeauftragte eines Unternehmens besucht haben, um als solcher anerkannt zu werden?
Nach Art. 37 Abs. 5 DS-GVO ist ein betrieblicher Daten-schutzbeauftragter auf der Grundlage seiner beruflichen Qualifikation und insbesondere seines Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der ihm nach Art. 39 DS-GVO obliegenden Aufgaben zu benennen. Die erforderliche Qualifikation des Datenschutzbeauftragten richtet sich nach Erwägungsgrund 97 in erster Linie nach den von dem Unternehmen durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz der verarbeiteten personenbezogenen Daten.
Darüber hinausgehende dedizierte Vorgaben zum Fachkundeerwerb hat der Verordnungs-geber nicht gemacht, insbesondere hat er auch keine speziellen Ausbildungen und Abschlüsse vorgeschrieben. Vor diesem Hintergrund haben Unternehmer bei der Auswahl geeigneter Weiterbildungsveranstaltungen also einen gewissen Spielraum, müssen insoweit aber sicherstellen, dass der zu bestellende Datenschutzbeauftragte im spezifischen Unternehmenskontext fachlich und persönlich zur Erfüllung seiner Aufgaben in der Lage ist.
Ist die Bestellung einer juristischen Person als betrieblicher Datenschutzbeauftragter rechtlich zulässig?
Ob die Bestellung einer juristischen Person zum betrieblichen Datenschutzbeauftragten einer nicht-öffentliche Stelle nach der DS-GVO zulässig ist, lässt sich allein im Wege der Auslegung ermitteln, da eine insoweit ausdrückliche Regelung im Normtext sowie den zugehörigen Erwägungsgründen fehlt. Meiner Behörde ist bekannt, dass die Artikel-29-Datenschutzgruppe die Benennung einer juristischen Person zum Datenschutzbeauftragten nach der DS-GVO für zulässig hält (vgl. WP 243, Seite 12). Allerdings knüpfen die in den Artikeln 37 und 38 DS-GVO genannten Voraussetzungen einer Bestellung sowie die besondere Stellung und der Schutz gegenüber bzw. innerhalb der verantwortlichen Stelle nach wie vor an höchstpersönliche Merkmale an, welche die Bestellung allein natürlicher Personen gebieten können. Aus diesem Grund gibt es hierzu unterschiedliche Auffassungen auch im Kreis der Aufsichtsbehörden. In jedem Fall zwingend wäre jedenfalls, dass die für die juristische Person handelnden und die Aufgaben des Datenschutzbeauftragten ausführenden Personen die Voraussetzungen des vierten Abschnitts der DS-GVO uneingeschränkt erfüllen. Solange eine verbindliche Klärung durch den Europäischen Datenschutzausschuss nicht stattgefunden hat, wird daher hier empfohlen, von der Bestellung einer juristischen Person zunächst abzusehen bzw. diese vorab mit meiner Behörde einzelfallbezogen mit dem Ziel einer bestmöglichen Erfüllung der Vorgaben der DS-GVO abzustimmen. Meine Behörde ist jedenfalls an einer schnellstmöglichen, einheitlichen Klärung dieser Frage interessiert und wird im Rahmen ihrer Möglichkeiten dazu beitragen.
Muss ich als Behörde, die personenbezogene Daten bei Dritten erhebt oder im Rahmen einer nicht auf eine Erhebung zielenden Tätigkeit in sonstiger Weise erlangt, den Informationspflichten nach Artikel 14 Absatz 1 bis 3 DS-GVO nachkommen?
In der Regel nicht. Behörden erlangen personenbezogene Daten ausschließlich auf gesetzlicher Grundlage, entweder im Wege des zielgerichteten Beschaffens (Erheben) oder als „Beifang“ (Erlangen). In beiden Fällen kommt in der Regel die Ausnahmevorschrift des Artikel 14 Abs. 5 Buchst. c DS-GVO zum Tragen: Die Informationspflichten nach Artikel 14 Abs. 1 bis 3 DS-GVO finden keine Anwendung, wenn die Erlangung der Daten durch EU-, deutsche oder sächsische Rechtsvorschriften ausdrücklich geregelt ist und diese Rechtsvorschriften geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsehen. Das ist in der Regel bei Rechtsvorschriften, die die Tätigkeit von Behörden regeln, der Fall. Daher braucht eine Behörde in der Regel keine Informationspflichten nach Artikel 14 Abs. 1 bis 3 DS-GVO zu erfüllen.
Beispiel:
Der Sächsische Rechnungshof (SRH) erhebt zu Kontrollzwecken – manchmal als bloßen „Beifang“, manchmal zielgerichtet – viele personenbezogene Daten bei anderen Behörden oder sogar Privaten. Seine Rechtsgrundlage hierfür sind die §§ 88ff. SäHO, die ihm die Erhebung solcher Daten zu Prüfungszwecken erlaubt. In diesem Fall kommt die Ausnahmeregelung des Art. 14 Abs. 5 Buchst. c DS-GVO zur Anwendung: Die Erlangung der personenbezogenen Daten durch den SRH ist durch EU-, deutsche oder sächsische Rechtsvorschriften, hier u. a. durch die §§ 88ff. SäHO, ausdrücklich geregelt; diese Rechtsvorschriften sehen auch geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vor, hier u. a. § 12 RechnungshofG (Beratungsgeheimnis).
Wofür braucht es nach Anwendbarkeit der unmittelbar geltenden Datenschutz-Grundverordnung (DS-GVO) ab dem 25. Mai 2018 noch ein Bundesdatenschutzgesetz und ein Sächsisches Datenschutzdurchführungsgesetz?
Die DS-GVO enthält neben den unmittelbar anwendbaren Bestimmungen auch ca. 70 sogenannte „Öffnungsklauseln“, welche es den Mitgliedstaaten, z. B. Deutschland oder Sachsen, erlauben, bestimmte Vorschriften der DS-GVO zu konkretisieren und zu ergänzen. Dies geschieht mittels nationaler Datenschutzgesetze. Folglich ergänzen sich die DS-GVO und die nationalen Datenschutzgesetze.
Beispiel:
Beschäftigtendatenschutz: Mit Art. 88 Abs. 1 DS-GVO sieht der EU-Gesetzgeber vor, den gesamten Bereich des Beschäftigtendatenschutzes sozusagen en bloc den Mitgliedsstaaten, also z. B. Deutschland oder Sachsen, zu überlassen. Danach dürfen die Mitgliedsstaaten „spezifischere Vorschriften zur Gewährleistung der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext“ vorsehen. Davon haben sowohl der Bund mit § 26 BDSG (gilt in Sachsen für alle Beschäftigungsverhältnisse mit nicht-öffentlichen Arbeitgebern) als auch Sachsen mit § 11 SächsDSDG (gilt nur für Beschäftigte sächsischer öffentlicher Stellen) Gebrauch gemacht und den Beschäftigtendatenschutz (rudimentär) gesetzlich geregelt.
Wie kann ich die Informationspflichten bei einer Datenerhebung direkt bei der betroffenen Person (Artikel 13 DS-GVO) erfüllen?
Bei der Anbahnung eines Geschäftskontaktes bis möglicherweise hin zu einem beabsichtigten Vertragsabschluss kann es über einen längeren Zeitraum mehrere Erhebungen mit unterschiedlichen spezifischen Erhebungszweck und -umfang geben (Bsp.: Terminabsprache beim Arzt als neuer Patient; der Vertrag wird beim Erstbesuch in der Praxis geschlossen). Der Umfang der Informationen richtet sich nach dem jeweiligen Erhebungsschritt.
Das „Mitteilen“ der Information setzt nicht ein aktives Herantreten an den Betroffenen voraus, sondern ist mit der englischen Fassung „provide“ als ein „zur Verfügung Stellen“ zu verstehen. Dies kann „durch geeignete Maßnahmen“ des Verantwortlichen erfolgen (Art. 12 Abs. 1 DS-GVO), die sich gegenseitig ergänzen können (Aushang, Info-Blatt, Erklärung auf Webseite, Textteil im Vertrag, mündlicher Hinweis, …). Entscheidend ist, dass die Information des Betroffenen durch ihn zumutbar erlangt werden kann.
Bei einem aktiven Herantreten des Betroffenen an den Verantwortlichen (Telefonanruf, E-Mail, …) ist regelmäßig damit zu rechnen, dass ihm die Kontaktdaten des Verantwortlichen (Artikel 13 Abs. 1a) sowie der (von ihm intendierte) Zweck (Artikel 13 Abs. 1c) bekannt sind.
Sofern Informationen bei diesem ersten Erhebungsschritt fehlen (z. B. ggf. die Kontaktdaten des Datenschutzbeauftragten, Art. 13 Abs. 1b, oder die Benennung der Rechtsgrundlage, Art. 13 Abs. 1c) kann dies nach Auffassung der Aufsichtsbehörde bei einem späteren Erhebungs- oder Verarbeitungsschritt erfolgen (z. B. als Link in der Signatur einer E-Mail-Antwort). Entscheidend ist dabei, ob die Umstände der ersten Erhebung „geeignet“ (bzw. nicht „geeignet“) sind, diese Information sachgerecht zu ermöglichen.
Besteht keine Erfordernis für eine dauerhafte Verarbeitung der Daten (z. B. wird der vereinbarte Arzttermin nicht wahrgenommen), sind die Daten zu löschen, es sei denn, es liegt eine Voraussetzung für eine zweckändernde Verarbeitung vor (Art. 6 Abs. 4). In diesem Fall hat eine entsprechende (diesen Fall betreffende) Information des Betroffenen zu erfolgen, sofern dies nicht schon beim ersten Erhebungsschritt erfolgt ist.
