Den Datenverantwortlichen trifft ab nächstem Jahr nach der künftigen unmittelbar geltenden EU-Datenschutzgrundverordnung die umfassende Verantwortung und Haftung für die Verarbeitung von personenbezogenen Daten. Bei Zuwiderhandeln können ihn drakonisch hohe Bußgelder treffen. Der Online-Händler sieht sich so ab dem 28.5.2018 mit einer Unzahl von schwierigen Fragen konfrontiert. Wer genau ist der Verantwortliche? Welche Pflichten kommen auf ihn zu? Können seine Pflichten an Dritte delegiert werden? Welcher Haftungsmaßstab gilt? Dies versucht der heutige Gastbeitrag der IT Recht Kanzlei München zu klären.

WER IST DER VEARNTWORTLICHE?

Nach der Legaldefinition des Art. 4 Nr. 7 ist ein Verantwortlicher die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Datenverantwortlicher kann demnach das Unternehmen des Online-Händlers je nach rechtlicher Person (z.B. GmbH oder GBR), der Online-Händler als Einzelperson oder als Inhaber eines Unternehmens oder der Geschäftsführer des Unternehmens sein.

Auch Kleinunternehmen müssen Ihre Kunden bei Erhebung von personenbezogenen Daten über die Kontaktdaten des Verantwortlichen informieren und im Pflichtverzeichnis der Verarbeitungstätigkeit den Verantwortlichen ausweisen.

PFLICHTEN DES VERANTWORTLICHEN – TOM, PRIVACY BY DESIGN, VVT,…

Art 24 erläutert den Begriff der technischen und organisatorische Maßnahmen nicht. Es ist hilfreich, auf den in § 9 Bundesdatenschutzgesetz (GDSG) benutzten Begriff der technisch-organisatorischen Maßnahmen zur Gewährleistung der notwendigen Sicherheits- und Schutzanforderungen zurückzugreifen. Dieser Begriff wird in der Anlage zu § 9 BDSG näher erläutert.
Demnach sind technische Maßnahmen, z.B.

• Umzäunung des Geländes
• Sicherung von Türen und Fenstern
• bauliche Maßnahmen allgemein
• Alarmanlagen jeglicher Art
• oder Maßnahmen die in Soft- und Hardware umgesetzt werden, wie etwa Benutzerkonto, Passworterzwingung, Logging (Protokolldateien), biometrische Benutzeridentifikation

Demnach sind organisatorische Maßnahmen, z. B.

• Besucheranmeldung
• Arbeitsanweisung zum Umgang mit fehlerhaften Druckerzeugnissen
• Vier-Augen-Prinzip
• Festgelegte Intervalle zur Stichprobenprüfungen

Art. 32 ist die einschlägige Vorschrift zur Sicherheit der Datenverarbeitung, diese Vorschrift wird durch das deutsche Datenschutz-Anpassungs- und Umsetzungsgesetz EU (Anpassungsgesetz) ergänzt und konkretisiert. Für Online- Händler mit Wohnsitz in Deutschland ist dieses Anpassungsgesetz verbindlich.
Welche Maßnahmen zur Gewährleistung der Datenverarbeitung werden in Art 32 aufgeführt?
Es müssen alle Maßnahmen zum organisatorischen und technischen Schutz der personenbezogenen Daten nach dem jeweiligen Stand der Technik ergriffen werden.
Beispielhaft werden in Art. 32 aufgeführt:

• Pseudonymisierung und Verschlüsselung personenbezogener Daten,
• Sicherstellung der Fähigkeiten von System und Diensten
• Wiederherstellung der Verfügbarkeit und des Zugangs zu Daten
• Verfahren zur Überprüfung der Gewährleistung der Sicherheit der Verarbeitung

Der Verantwortliche hat die Pflicht, getroffene organisatorisch-technische Maßnahmen zu überprüfen und bei Bedarf zu aktualisieren (Art. 24).
Nach dem Wortlaut des Art. 24 darf die Einhaltung von Verhaltenskodizes und Zertifizierungsverfahren nur ein Indiz sein, dass den Pflichten des Verantwortlichen entsprochen wird (s. dazu auch Kapitel 5). Es obliegt den zuständigen Aufsichtsbehörden den entsprechenden in eigener Verantwortung zu prüfen (s. Kommentar Ehmann/Selmayer, Art. 24 Rdr. 11). In der Praxis werden aber nach Ansicht der IT-Recht Kanzlei gerade bei der Routineüberprüfung von Online-Händlern solche Verhaltenskodizes und Zertifizierungsverfahren eine große Rolle spielen.
Mit der Pflicht zu Privacy by Default und Privacy by Design sind anerkannte Methoden und Modelle für datenschutzfreundliche Voreinstellungen gemeint. Technische Prozesse sollen im Vorhinein mit dem Datenschutz in Einklang gebracht werden. Der Verantwortliche soll bereits bei der Planung eines Datenverarbeitungssystems den Gesichtspunkt des Datenschutzes berücksichtigen. Beispielhaft wären zu nennen Verschlüsselung, Datenschutzhinweise durch entsprechende Banner auf einer Webseite, Schulungsmaßnahmen der Mitarbeiter. Der Verantwortliche sollte ein schlüssiges Datenschutzkonzept vorweisen können.
Der Nachweis dieser Gestaltungspflicht kann ebenfalls durch die Einhaltung genehmigter Zertifizierungsverfahren erleichtert werden (Art. 25 Abs. 39.)
Dazu kommt die Pflicht zur Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten, Art 30 DSGVO.
In Art. 30 wird ein detaillierter Katalog von Pflichtangaben aufgelistet. Wie bereits oben ausgeführt, gilt diese Verzeichnispflicht auch für Kleinunternehmen:

• den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
• die Zwecke der Verarbeitung;
• eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
• die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
• gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
• wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
• Angaben über die Rechtsgrundlage der Verarbeitung;
• wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

PFLICHTEN DES VERANTWORTLICHEN – INFORMATION, FOLGENABSCHÄTZUNG…

Der Verantwortliche ist zu geeigneten Maßnahmen für eine transparente Informationspolitik verpflichtet und soll dem Betroffenen die Ausübung seiner Rechte erleichtern. Hierbei ist zu unterscheiden zwischen der Information zur Erhebung und Verarbeitung von personenbezogenen Daten die immer zu erfolgen hat und der Information, die nur auf Antrag des Betroffenen erfolgt.
Der Verantwortliche hat zum Zeitpunkt der Erhebung personenbezogener Daten über folgende Inhalte zu informieren:

• den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
• gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
• die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
• Wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
• gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
• gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.
• die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
• das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
• das Bestehen eines Rechts, eine Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
• das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
• ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte;
• das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person (zum Profiling, s.unten Ziffer 8 ) .

Tipp für die Praxis: Diese sehr umfangreichen Auskunftspflichten betreffen jeden Online-Händler. Ihnen kann in der Praxis nur in Form einer Datenschutzerklärung sachgerecht entsprochen werden, die auf der Webseite des Online-Händlers hinterlegt ist. Die IT-Recht Kanzlei stellt Ihren Mandanten künftig Texte für Datenschutzerklärungen zur Verfügung, die diesen Informationsvorgaben der Datenschutzgrundverordnung vollumfänglich entsprechen.
Über welche Inhalte muss der Verantwortliche den Betroffenen auf Anfrage in Form einer Einzelinformation unterrichten (Art. 15)?
Die antragslose Pflichtinformation (Art. 13) und die Pflichtinformation auf Antrag (Art 15) sind in ihren Inhalten weitgehend deckungsgleich. Es kann daher hier auf die antraglose Pflichtinformation verwiesen werden. Wichtig ist aber das Recht einer betroffenen Person, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden (Negativauskunft).
Einzelinformationen an Betroffene auf Antrag haben grundsätzlich unentgeltlich, in schriftlicher oder elektronischer Form und spätestens 1 Monat nach Antragstellung zu erfolgen (Art. 12). Der Verantwortliche kann sich bei offenkundig unbegründeten oder exzessiven Anträgen weigern, tätig zu werden oder ein angemessenes Entgelt. verlangen. Der Verantwortliche trägt die Beweislast, ob ein Antrag offensichtlich unbegründet oder exzessiv ist. Die Verweigerung einer Information oder die Koppelung mit einer Entgeltforderung sollte daher gut überlegt sein. Eine gewisse Beweislasterleichterung ist nach Erwägungsgrund 63 gegeben. Demnach sind Antragsbegehren exzessiv, wenn sie in unangemessen kurzen Abständen geltend gemacht werden. Beantragt der Antragsteller mehrere Kopien der Einzelinformation, so kann ein angemessenes Entgelt verlangt werden.
Weitere Informationspflichten die der Verantwortliche gegenüber dem Betroffenen zu erfüllen hat sind:
– Verpflichtung auf Antrag des Betroffen, unvollständige personelle Daten – auch mittels ergänzender Erklärung – zu vervollständigen (Art. 16).
– Verpflichtung, den Betroffen, der eine Einschränkung der Verarbeitung seiner Daten erwirkt hat, von einer Aufhebung der Einschränkung zu unterrichten (Art.18)
– Unterrichtung des Betroffenen über die Verletzung des Schutzes seiner Daten (Art. 34), hierzu im Einzelnen Ausführungen unter Ziffer 9.
Der Verantwortliche hat die Pflicht, dem Betroffenen auf Antrag die ihn betreffenden personenbezogenen Daten, die er dem Verantwortlichen bereitgestellt hat, in einer gängigen maschinenlesbaren Form herauszugeben und an einem anderen Verantwortlichen nach Wahl des Betroffenen zu übermitteln. Es ist also zwischen Herausgabe von Daten und Übermittlung von Daten zu unterscheiden. Der Betroffene kann seine personenbezogenen Daten auch selber an einen Verantwortlichen seiner Wahl übermitteln. Diese Pflicht betrifft jeden Online-Händler, der eine Webseite unterhält.
Die Pflicht zur Datenschutz-Folgenabschätzung trifft in der Regel den Online-Händler nicht. Sie ist nur dann gegeben, wenn mit der Verarbeitung von Daten ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen verbunden ist. Nach Erwägungsgrund 85 der Datenschutz-Grundverordnung ist damit z.B. das Risiko eines physischen, materiellen oder immateriellen Schadens, Identitätsdiebstahl, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, etc. gemeint. Ausdrücklich ausgenommen ist die bei Vorleistung des Online-Händlers übliche, automatisierte Bonitätsprüfung des Kunden durch Bezahldienste. Eine solche Bonitätsprüfung ist nach Art 22 Abs. 2 zulässig, da sie für den Abschluss eines Vertrages erforderlich ist. Die bloße Verweigerung eines Vertragsabschlusses ist keine Rechtsverletzung im Sinne des Art 35. Andernfalls würde der Grundsatz der Vertragsfreiheit faktisch ausgehebelt (s. auch Kommentar Gola, Art. 22 Rndr. 25).
Als Regelbeispiele einer erforderlichen Datenschutz-Folgenabschätzung nennt Art. 35 Abs. 3
Es liegt eine eingriffsintensive und umfangreiche Verarbeitung von personenbezogenen, insbesondere von sensiblen Daten vor
Es liegt eine systematische und umfangreiche Bewertung persönlicher Aspekte, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet. Hier gemeint ist z.B. ein Profiling im Rahmen von Arbeitsverhältnissen, aber nicht wie ausgeführt im Rahmen einer Bonitätsprüfung bei Onlineverträgen.
Frage: Was hat der Verantwortliche bei Erforderlichkeit einer Datenschutz-Folgenabschätzung zu tun?
a. Er hat den Datenschutzbeauftragten bei der Durchführung der Folgenabschätzung zu beteiligen (§ 67 Anpassungsgesetz) und er hat die Aufsichtsbehörde zu konsultieren (Art. 36)
Die Folgenabschätzung enthält zumindest folgende Angaben, Art. 35

• eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
• eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
• eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.

Eine Meldepflicht bei Verletzung des Schutzes von personenbezogenen Daten besteht in der Regel, es sei denn, die Verletzung des Schutzes personenbezogener Daten führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen. Das heißt aber, den Verantwortlichen trifft hier die Beweislast. Bei Unterlassen einer solchen Meldung hat er nachzuweisen, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem solchen Risiko führt (Erwägungsgrund 85).
Tipp für die Praxis: Der Online-Händler ist daher im Zweifel gut beraten, mögliche Verletzungen des Schutzes personenbezogener Daten dem Bundesbeauftragten zu melden.
Verletzungen des Datenschutzes sind der Bundesbeauftragten unverzüglich und möglichst binnen 72 Stunden nach Kenntnisnahme (§ 65 Abs. 1 Anpassungsgesetz) zu melden. Diese hat eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen, zu beinhalten.
Führt die Verletzung des Datenschutzes voraussichtlich zu einem hohen Risiko für den Betroffenen, so ist er unverzüglich zu unterrichten. Einer Benachrichtigung bedarf es nicht, wenn

• der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat,
• sichergestellt wurde, dass das hohe Risiko für die Rechte der betroffenen Person aller Wahrscheinlichkeit nicht mehr besteht,
• mit der Benachrichtigung der betroffenen Person ein unverhältnismäßiger Aufwand verbunden wäre.

Lesen Sie morgen weiter in Teil 2 dieses Beitrages…