Am 25.05.2018 beendete die „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personenbei der Verarbeitung personenbezogen Daten, zum Freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Daten-Grundverordnung)“ einen nationalen Flickenteppich beim Schutz von personenbezogenen Daten. Sie verdrängte die nationalen Datenschutzgesetze der damals 28 Mitgliedsstaaten der Europäischen Union. Bis dahin hatte, basierend auf der EU-Datenschutzrichtlinie (95/46/EG), jeder Mitgliedstaat auf nationaler Ebene sein eigenes Datenschutzgesetz. So z.B. Deutschland das Bundesdatenschutzgesetz a.F. (BDSG) und Österreich sein DSG 2000.
Mit der Datenschutz-Grundverordnung (DS-GVO) wurde das Datenschutzrecht innerhalb der Europäischen Union (EU) und des Europäischen Wirtschaftsraums (EWR) [1] für den privaten und öffentlichen Bereich vereinheitlicht. Der Datenschutzstandard gilt für fast 448 Mio. EU-Bürger [2], und es gilt gleiches Recht für alle.
Aus deutscher Sicht ähneln die inhaltlichen Anforderungen vielfach dem BDSG a.F. Gleichwohl bringt sie eine ganze Reihe von Anforderungen mit sich, die für die Praxis wichtig sind. [3]
Exkurs:
Im Europarecht sind Richtlinien, sog. EU-Richtlinien, Rechtsakte der Europäischen Union und folglich Teil des sekundären Unionsrechts. Sie gelten gemäß Art. 288 Abs. 3 des AEUV nicht unmittelbar, sondern die EU-Mitgliedsstaaten müssen diese, binnen einer Übergangsfrist, in nationales Recht umwandeln. Eine Verordnung der Europäischen Union dagegen ist ein Rechtsakt der EU mit allgemeiner Gültigkeit. Eine EU-Verordnung, wie z.B. die DS-GVO, hat unmittelbare und direkte Wirksamkeit in den Mitgliedstaaten. Es bedarf, sofern in der Verordnung keine Regelungsspielräume normiert sind, keiner Umwandlung in nationales Recht.
Zweck des Datenschutzes
Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Gemäß Artikel 8 Abs. 1 der Charta der Grundrechte der Europäischen Union sowie Artikel 16 Abs. 1 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten.
Der Zweck des Datenschutzes ist folglich der Schutz der personenbezogenen Daten und nicht der Schutz von Daten. Der Mensch, i.S.d. Datenschutzrecht, die natürliche Person (Betroffener), steht somit im Mittelpunkt.
Um dies sicherzustellen hat der EU-Gesetzgeber im Rahmen der DS-GVO, wie bereits das BDSG a.F., die Verarbeitung durch einen Dienstleister, dem sogenannten Auftragsverarbeiter (Art. 4 Nr. 8 DS-GVO), geregelt. Eine Auftragsverarbeitung kann nur unter bestimmten Rahmenbedingungen erfolgen. Wobei die Vertragspartner, der Verantwortliche und der Auftragsverarbeiter, einen gewissen Regelungsspielraum haben.
Verantwortlich für die Verarbeitung ist und bleibt auch bei der Auftragsverarbeitung der Auftraggeber, d.h. der Verantwortliche i.S.d. Art. 4 Nr. 7 DS-GVO. Im Rahmen von Art. 5 Abs. 2 DS-GVO ist er für die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten (Art. 5 DS-GVO) verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“). Der Verantwortliche hat somit, wie auch der Auftragsverarbeiter, nicht nur Rechte, sondern auch Pflichten.
Begriffsbestimmungen und Definitionen
Die in einer Vereinbarung zur Auftragsverarbeitung verwendeten Begriffe verstehen sich entsprechend ihrer Definition in der DS-GVO. Nachstehend sind die wichtigsten Begrifflichkeiten kurz erläutert:
- „Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, z. B. Adress- und Kontaktdaten, Steuernummer, Kfz-Kennzeichen, IP-Adresse.
- „Betroffene Person“ (Betroffener) im Sinne der DS-GVO, ist jede natürliche Person deren personenbezogene Daten verarbeitet werden und diese bestimmen können.
- „Drittland“ ist ein Land außerhalb der EU.
- „Verarbeitung“ ist jede mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreiche im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung , die Offenlegung durch Übermittlung, Verarbeitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung (Art. 4 Nr. 2 DS-GVO).
Die Begrifflichkeiten der DS-GVO (Art. 4 Begriffsbestimmungen) können nicht nur nach deutschem Verständnis ausgelegt werden. Genauso wenig kann man, ggf. aus Macht der Gewohnheit, sich an dem BDSG a.F. orientieren bzw. anlehnen. Es empfiehlt sich, auch eine englische Sprachfassung der DS-GVO zur Verfügung zu haben.
Im nächsten Teil: Was ist Auftragsverarbeitung.
AdOrga Solutions GmbH – Ihre Datenschutz-Diplomaten.
Wenn Sie Fragen haben, kontaktieren Sie uns: consulting@AdOrgaSolutions.de.
Seit 2007 Lösungen für professionellen und fachkundigen Datenschutz.
[1] Mitgliedsstaaten des EWR: EU, Island, Liechtenstein, Norwegen.
[2] Vgl. https://de.statista.com/statistik/daten/studie/14035/umfrage/europaeische-union-bevoelkerung-einwohner/ (zuletzt abgerufen am: 24.04.2021).
[3] Vgl. Kranig, T., Ehmann, E., (2017), S. 3