Einleitung

Mit der im Mai 2016 in Kraft getretenen EU-Datenschutz-Grundverordnung (DS-GVO) beginnt eine neue Ära im Datenschutzrecht. Betroffen sind der private und der öffentliche Sektor sowie alle Wirtschaftsbereiche in Deutschland und der EU. Ab dem 25. Mai 2018 müssen Unternehmen die Vorgaben der DS-GVO beachten. Anderenfalls drohen hohe Bußgelder und andere Sanktionen.

Auf der Suche nach einem politischen Kompromiss ist die DS-GVO an vielen Stellen durch Generalklauseln und unbestimmte Rechtsbegriffe recht vage geblieben. Vor diesem Hintergrund sehen es die Aufsichtsbehörden als eine ihrer Aufgaben an, Interpretations- und Orientierungshilfen zu erstellen.

Die so genannte Artikel-29-Datenschutzgruppe hat im Dezember 2016 gleich drei Leitlinien und FAQs zur Anwendung der neuen Verordnung veröffentlicht. Die Leitlinien sollen mehr Licht in das Dunkel der Generalklauseln und unbestimmten Rechtsbegriffe bringen.

Thematisch hat sich die Artikel-29-Datenschutzgruppe in den Leitlinien ausführlich mit drei Themen beschäftigt, nämlich der Datenportabilität gemäß Art. 20 DS-GVO, dem Datenschutzbeauftragten gemäß Art. 37 DS-GVO sowie den federführenden Aufsichtsbehörden nach Art. 56 DS-GVO:

1. Recht auf Datenübertragbarkeit unter Kontrolle des Betroffenen

Art. 20 DS-GVO verleiht dem Betroffenen das Recht, die ihn betreffenden personenbezogenen Daten, die er einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Darüber hinaus ist er berechtigt, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten ursprünglich bereitgestellt wurden, zu übermitteln, sofern

-die Verarbeitung auf einer Einwilligung oder einem Vertrag beruht,

-die Verarbeitung mit Hilfe automatisierter Verfahren erfolgt.

In der Praxis bedeutet dies Folgendes: Unternehmen müssen keine Übertragbarkeit solcher Daten gewährleisten, die zum Beispiel auf Basis einer Interessenabwägung verarbeitet wurden. Mithin sollten Unternehmen zur Erhaltung der Datenschutz-Compliance dafür Sorge tragen, dass sie die gesetzliche Grundlage der einzelnen Verarbeitungen festlegen und dokumentieren. Damit können Unternehmen auch ihrer Informationspflicht nach Art. 13 Abs. 1 lit. c) DS-GVO nachkommen.

Der europäische Gesetzgeber hat mit dem Recht auf Datenübertragbarkeit ein neues Recht geschaffen, sodass hierzu noch keine einschlägigen Entscheidungen aus der Rechtsprechungs- und Verwaltungspraxis vorliegen.

Die Artikel-29-Datenschutzgruppe führt zu dem neuen Recht auf Datenübertragbarkeit unter anderem aus, dass es Betroffene stärkt, über ihre eigenen personenbezogenen Daten zu verfügen. Der Betroffene soll personenbezogene Daten ohne Behinderung eines Diensteanbieters von einer IT-Umgebung in eine andere verschieben, kopieren oder an einen neuen Diensteanbieter übermitteln können.

Begrenzt wird das Recht auf Datenübertragbarkeit im Hinblick auf solche Verarbeitungen, die für die Wahrnehmung einer Aufgabe erforderlich sind, die im öffentlichen Interesse liegen oder in Ausübung öffentlicher Gewalt erfolgen, die dem Verantwortlichen übertragen wurden. Zudem dürfen die Rechtsfreiheiten anderer Personen durch die Ausübung nicht beeinträchtigt werden. Erfreulicherweise erkennt somit die Artikel-29-Datenschutzgruppe an, dass beim Umgang mit den portablen Daten durch den Betroffenen keine datenschutzrechtliche Verantwortung des Unternehmens gegeben ist, welches die Daten bereitstellt. Ebenso besteht keine Verpflichtung zur weiteren Speicherung der Daten über das Kriterium der Erforderlichkeit oder anderer gesetzlich normierter Speicherfristen hinaus.

Weiterhin findet das Recht auf Datenübertragbarkeit dort seine Grenzen, wo personenbezogene Daten nicht mehr beim Betroffenen, sondern bei einem Dritten generiert wurden. Demzufolge muss die Datenübertragbarkeit nur für solche Daten gewährleistet werden, die der Betroffene bereitgestellt hat. Nach Auffassung der Artikel-29-Datenschutzgruppe unterfallen sog. Beobachtungsdaten, die aus der Nutzung des Dienstes oder des Geräts resultieren, ebenfalls dem Recht auf Datenübertragbarkeit. Dies gilt zum Beispiel für die Suchhistorie eines Nutzers sowie für Verkehrs- und Standortdaten oder Messwerte. Das wird in der Praxis zu einer weiten Auslegung des Anspruchs auf Datenübertragung führen.

Die Artikel-29-Datenschutzgruppe schlägt den Verantwortlichen für die Praxis vor, verschiedene technische Möglichkeiten für die Datenübertragung anzubieten, wie zum Beispiel die Bereitstellung einer technischen Schnittstelle. Hierzu ruft die Artikel-29-Datenschutzgruppe dazu auf, interoperable Formate zu entwickeln, die die Datenübertragbarkeit ermöglichen. Insofern stellt das Recht auf Datenübertragbarkeit nach Auffassung der Artikel-29-Datenschutzgruppe auch ein Werkzeug dar, das nicht nur den freien Datenverkehr innerhalb der EU stärkt, sondern auch den Wettbewerb zwischen verschiedenen Diensteanbietern fördert.

In den Guidelines verweist die Artikel-29-Datenschutzgruppe auf mehrere technische Möglichkeiten, die Unternehmen vorhalten sollten, um das Recht auf Datenübertragbarkeit zu gewährleisten. Aufgelistet wird zum Beispiel eine direkte Download-Möglichkeit für den Betroffenen oder der Datentransfer durch eine Programmierschnittstelle, wie etwa eine API.

2. Der betriebliche Datenschutzbeauftragte

In dem WP243 greift die Artikel-29-Datenschutzgruppe im Kern vier Themenkomplexe mit Bezug auf den betrieblichen Datenschutzbeauftragten nach Art. 37 DS-GVO auf: Zunächst äußert sie sich zu den Voraussetzungen der Bestellpflicht, dann befasst sich sie mit den Anforderungen an die Unabhängigkeit und an die Qualifikation des Datenschutzbeauftragten und zuletzt auch mit den Aufgaben des betrieblichen Datenschutzbeauftragten.

Zur Bestellpflicht

Die Ausführungen der Artikel-29-Datenschutzgruppe dazu, wann ein Unternehmen zur Bestellung eines betrieblichen Datenschutzbeauftragten verpflichtet ist, sind für deutsche Unternehmen aller Voraussicht nach ohne Bedeutung. In sämtlichen bisher vom deutschen Gesetzgeber bekannt gewordenen Entwürfen für das Nachfolgegesetz des BDSG wird im Kern an der bisherigen deutschen Regelung festgehalten, wonach eine Bestellpflicht immer schon dann besteht, wenn zehn oder mehr Personen mit der Verarbeitung personenbezogener Daten befasst sind oder wenn die Tätigkeit des Unternehmens besondere Risiken für die betroffenen Personen mit sich bringt. Im letzten bekannten Entwurf (DSAnpUG-EU vom 23.11.2016) wird dies in § 36 BDSG-neu geregelt. Damit greift die Bestellpflicht in Deutschland wesentlich früher als nach der DS-GVO.

Sofern Unternehmen zu der Auffassung gelangen, dass eine Bestellpflicht für sie nicht besteht, empfiehlt die Artikel-29-Datenschutzgruppe, die dieser Entscheidung vorausgegangene Prüfung zu dokumentieren. Vor dem Hintergrund der Nachweispflicht für die Einhaltung der Vorgaben der DS-GVO (Art. 24 Abs. 1 für Verantwortliche und Art. 28 Abs. 1 für Auftragsverarbeiter) sollten Unternehmen diese Empfehlung unbedingt berücksichtigen.

Zur Unabhängigkeit

Die Artikel-29-Datenschutzgruppe unterstreicht zunächst, dass der betriebliche Datenschutzbeauftragte in der Ausübung seines Amtes nicht beschränkt werden darf und wegen der Ausübung seiner Tätigkeit arbeitsrechtlich nicht benachteiligt werden darf. Der aktuelle Entwurf des neuen BDSG sieht dem entsprechend auch weiter einen Kündigungsschutz für den betrieblichen Datenschutzbeauftragten vor.

Dem betrieblichen Datenschutzbeauftragten müssen ausreichende Ressourcen für seine Aufgabe zur Verfügung gestellt werden. Sofern der Datenschutzbeauftragte im Unternehmen auch andere Aufgaben wahrnimmt, dürfen diese nicht zu einer Interessenkollision führen. Eine Interessenkollision liegt immer vor, wenn der Datenschutzbeauftragte in seiner anderen Funktion über Zwecke oder Mittel der Verarbeitung personenbezogener Daten entscheidet. Die Artikel-29-Datenschutzgruppe hält daher in der Regel alle Führungskräfte eines Unternehmens für nicht geeignet, lässt aber eine Prüfung im Einzelfall zu.

Zur Qualifikation

Hinsichtlich der fachlichen Qualifikation verlangt die Artikel-29-Datenschutzgruppe vor allem ausgewiesene Kenntnisse im nationalen und europäischen Datenschutzrecht sowie insbesondere der Datenschutz-Grundverordnung. Hinsichtlich des technischen Verständnisses verlangt die Artikel-29-Datenschutzgruppe jedenfalls ausreichendes Verständnis der Verarbeitungstätigkeiten. Sie stellt aber insgesamt klar, dass sich die Anforderungen an den Datenschutzbeauftragten je nach Unternehmen und Branche unterscheiden können.

Zu den Aufgaben

Die Artikel-29-Datenschutzgruppe stellt klar, dass der Datenschutzbeauftragte eine Beratungs- und Kontrollfunktion hat, aber selbst nicht für die Einhaltung der Vorgaben der DS-GVO verantwortlich ist. Die Verantwortung liegt allein beim Verantwortlichen und/oder beim Auftragsverarbeiter. Besondere Bedeutung misst die Artikel-29-Datenschutzgruppe dem Datenschutzbeauftragten im Rahmen der Datenschutz-Folgenabschätzung bei. Hier soll er umfassend beraten und frühzeitig eingebunden werden. Mit Blick auf die Datenschutzdokumentation stellt die Artikel-29-Datenschutzgruppe klar, dass auch diese Pflicht originär beim Verantwortlichen und beim Auftragsverarbeiter liegt, es aber zulässig sei, den Datenschutzbeauftragten mit der Führung der Dokumentation zu beauftragen.

3. Zuständigkeit der Aufsichtsbehörden bei grenzüberschreitender Datenverarbeitung

Die Artikel-29-Datenschutzgruppe gibt mit dem WP244 erstmals Orientierung bei der Bestimmung der zuständigen Aufsichtsbehörde im grenzüberschreitenden Datenverkehr und verhilft damit dem Konzept des One Stop Shop (OSS) zu mehr Schärfe.

Nach dem DS-GVO-Konzept des OSS soll künftig bei grenzüberschreitender Datenverarbeitung nur noch eine Behörde, die sog. federführende Aufsichtsbehörde, alleiniger Ansprechpartner des Verantwortlichen bzw. des Auftragsverarbeiters (Art. 56 Abs. 6 DS-GVO) sein. Zu beachten ist, dass damit in der Sache zwar die zentrale Zuständigkeit, nicht aber die alleinige Entscheidungsfindung auf die federführende Behörde übergeht. Diese hat sich mit den in Art. 4 Nr. 22 DS-GVO definierten „betroffenen Aufsichtsbehörden" abzustimmen.

Ob der für das OSS-Konzept relevante grenzüberschreitende Datenverkehr nach Definition in Art. 4 Nr. 23 DS-GVO überhaupt vorliegt, wird in der Praxis einerseits relativ leicht zu bejahen sein. Dies ist bereits dann der Fall, wenn eine Verarbeitung de facto in mehr als einem Mitgliedstaat erfolgt. Das WP244 gibt in der komplexeren 2. Tatbestandsvariante der Definition Orientierung, wonach der Datenverkehr auch grenzüberschreitend zu beurteilen ist, wenn eine Verarbeitung personenbezogener Daten erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat hat oder haben kann.

Die Artikel-29-Datenschutzgruppe verweist einerseits auf die Beurteilung des Einzelfalls („case-by-case") durch die Aufsichtsbehörden in der Auslegung des Merkmals „erhebliche Auswirkungen". Andererseits sollen neben dem Kontext der Verarbeitung, der betroffenen Datenkategorien und der Zweck der Verarbeitung u.a. berücksichtigt werden, ob die Datenverarbeitung:

-tatsächlich oder wahrscheinlich zu Schäden, Verlust oder Belastungen von Personen führt,

-tatsächlich oder wahrscheinlich die Gesundheit, das Wohl oder den Seelenfrieden einer Person beeinflusst,

-tatsächlich oder wahrscheinlich die finanzielle oder wirtschaftliche Situation einer Person beeinflusst,

-eine Person der Diskriminierung oder unfairer Behandlung aussetzt,

-die Verarbeitung besonderer Kategorien personenbezogener Daten, insbesondere Daten von Kindern, betroffen ist.

Die Auslegungshilfen der Artikel-29-Datenschutzgruppe gehen im weiteren Verlauf noch auf die konkrete Bestimmung der „federführenden Aufsichtsbehörde" ein. Diese soll nach Art. 56 Abs. 1 DS-GVO die für die am Ort der „Hauptniederlassung" der Organisation zuständige Behörde sein.

Als wesentlicher Faktor wird der Ort der Organisation gesehen, an dem die Entscheidungen über die Verarbeitung („decision-making powers") personenbezogener Daten getroffen werden. Dies kann die Konzernzentrale sein. Dabei sollen aber auch Merkmale wie der tatsächliche Ort der operativen Entscheidungsprozesse, der Sitz der Geschäftsführer oder der Ort der Anmeldung der Gesellschaften eine Rolle spielen können.

4. Handlungsempfehlung für die Praxis

Die Leitlinien und die FAQs der Artikel-29-Datenschutzgruppe sind nicht bindend, sind aber für Aufsichtsbehörden und Unternehmen als wertvolle Auslegungs- und Orientierungshilfen anzusehen. Die Leitlinien und FAQs werden daher auch von den deutschen und europäischen Datenschutz-Aufsichtsbehörden zur Kenntnis genommen. Sie geben einen potenziellen Einblick in die zukünftige Auslegung der Vorschriften der DS-GVO durch die deutschen und europäischen Datenschutz-Aufsichtsbehörden.

Die neuen Leitlinien der Artikel-29-Datenschutzgruppe sowie die hierzu veröffentlichten FAQs können in englischer Sprache nachfolgend heruntergeladen werden.