Am 25.05.2018 be­en­de­te die „Ver­ord­nung (EU) 2016/679 des Eu­ro­päi­schen Par­la­ments und des Rates vom 27. April 2016 zum Schutz na­tür­li­cher Per­so­nen­bei der Ver­ar­bei­tung per­so­nen­be­zo­gen Daten, zum Freien Da­ten­ver­kehr und zur Auf­he­bung der Richt­li­nie 95/46/EG (Daten-Grun­d­­ver­­or­d­­nung)“ einen na­tio­na­len Fli­cken­tep­pich beim Schutz von per­so­nen­be­zo­ge­nen Daten. Sie ver­dräng­te die na­tio­na­len Da­ten­schutz­ge­set­ze der damals 28 Mit­glieds­staa­ten der Eu­ro­päi­schen Union. Bis dahin hatte, ba­sie­rend auf der EU-Da­­ten­­schut­z­rich­t­­li­­nie (95/46/EG), jeder Mit­glied­staat auf na­tio­na­ler Ebene sein eigenes Da­ten­schutz­ge­setz. So z.B. Deutsch­land das Bun­des­da­ten­schutz­ge­setz a.F. (BDSG) und Ös­ter­reich sein DSG 2000.

Mit der Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung (DS-GVO) wurde das Da­ten­schutz­recht in­ner­halb der Eu­ro­päi­schen Union (EU) und des Eu­ro­päi­schen Wirt­schafts­raums (EWR) [1] für den pri­va­ten und öf­fent­li­chen Bereich ver­ein­heit­licht. Der Da­ten­schutz­stan­dard gilt für fast 448 Mio. EU-Bürger [2], und es gilt glei­ches Recht für alle.

Aus deut­scher Sicht ähneln die in­halt­li­chen An­for­de­run­gen viel­fach dem BDSG a.F. Gleich­wohl bringt sie eine ganze Reihe von An­for­de­run­gen mit sich, die für die Praxis wichtig sind. [3]

Exkurs:
Im Eu­ro­pa­recht sind Richt­li­ni­en, sog. EU-Rich­t­­li­­ni­en, Rechts­ak­te der Eu­ro­päi­schen Union und folg­lich Teil des se­kun­dä­ren Uni­ons­rechts. Sie gelten gemäß Art. 288 Abs. 3 des AEUV nicht un­mit­tel­bar, sondern die EU-Mit­­glied­s­­staa­­ten müssen diese, binnen einer Über­gangs­frist, in na­tio­na­les Recht um­wan­deln. Eine Ver­ord­nung der Eu­ro­päi­schen Union dagegen ist ein Rechts­akt der EU mit all­ge­mei­ner Gül­tig­keit. Eine EU-Ver­­or­d­­nung, wie z.B. die DS-GVO, hat un­mit­tel­ba­re und direkte Wirk­sam­keit in den Mit­glied­staa­ten. Es bedarf, sofern in der Ver­ord­nung keine Re­ge­lungs­spiel­räu­me nor­miert sind, keiner Um­wand­lung in na­tio­na­les Recht.

Zweck des Datenschutzes

Der Schutz na­tür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten ist ein Grund­recht. Gemäß Artikel 8 Abs. 1 der Charta der Grund­rech­te der Eu­ro­päi­schen Union sowie Artikel 16 Abs. 1 des Ver­trags über die Ar­beits­wei­se der Eu­ro­päi­schen Union (AEUV) hat jede Person das Recht auf Schutz der sie be­tref­fen­den per­so­nen­be­zo­ge­nen Daten.

Der Zweck des Da­ten­schut­zes ist folg­lich der Schutz der per­so­nen­be­zo­ge­nen Daten und nicht der Schutz von Daten. Der Mensch, i.S.d. Da­ten­schutz­recht, die na­tür­li­che Person (Be­trof­fe­ner), steht somit im Mittelpunkt.

Um dies si­cher­zu­stel­len hat der EU-Ge­­set­z­­ge­­ber im Rahmen der DS-GVO, wie bereits das BDSG a.F., die Ver­ar­bei­tung durch einen Dienst­leis­ter, dem so­ge­nann­ten Auf­trags­ver­ar­bei­ter (Art. 4 Nr. 8 DS-GVO), ge­re­gelt. Eine Auf­trags­ver­ar­bei­tung kann nur unter be­stimm­ten Rah­men­be­din­gun­gen er­fol­gen. Wobei die Ver­trags­part­ner, der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter, einen ge­wis­sen Re­ge­lungs­spiel­raum haben.

Ver­ant­wort­lich für die Ver­ar­bei­tung ist und bleibt auch bei der Auf­trags­ver­ar­bei­tung der Auf­trag­ge­ber, d.h. der Ver­ant­wort­li­che i.S.d. Art. 4 Nr. 7 DS-GVO. Im Rahmen von Art. 5 Abs. 2 DS-GVO ist er für die Ein­hal­tung der Grund­sät­ze für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten (Art. 5 DS-GVO) ver­ant­wort­lich und muss dessen Ein­hal­tung nach­wei­sen können („Re­chen­schafts­pflicht“). Der Ver­ant­wort­li­che hat somit, wie auch der Auf­trags­ver­ar­bei­ter, nicht nur Rechte, sondern auch Pflichten.

Be­griffs­be­stim­mun­gen und Definitionen

Die in einer Ver­ein­ba­rung zur Auf­trags­ver­ar­bei­tung ver­wen­de­ten Be­grif­fe ver­ste­hen sich ent­spre­chend ihrer De­fi­ni­ti­on in der DS-GVO. Nach­ste­hend sind die wich­tigs­ten Be­griff­lich­kei­ten kurz erläutert:

  • „Per­so­nen­be­zo­ge­ne Daten“ sind alle In­for­ma­tio­nen, die sich auf eine iden­ti­fi­zier­te oder iden­ti­fi­zier­ba­re na­tür­li­che Person be­zie­hen, z. B. Adress- und Kon­takt­da­ten, Steu­er­num­mer, Kfz-Ken­n­­zei­chen, IP-Adresse.
  • „Be­trof­fe­ne Person“ (Be­trof­fe­ner) im Sinne der DS-GVO, ist jede na­tür­li­che Person deren per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet werden und diese be­stim­men können.
  • „Dritt­land“ ist ein Land au­ßer­halb der EU.
  • „Ver­ar­bei­tung“ ist jede mit oder ohne Hilfe au­to­ma­ti­sier­ter Ver­fah­ren aus­ge­führ­ter Vorgang oder jede solche Vor­gangs­rei­che im Zu­sam­men­hang mit per­so­nen­be­zo­ge­nen Daten wie das Erheben, das Er­fas­sen, die Or­ga­ni­sa­ti­on, das Ordnen, die Spei­che­rung, die An­pas­sung oder Ver­än­de­rung, das Aus­le­sen, das Ab­fra­gen, die Ver­wen­dung , die Of­fen­le­gung durch Über­mitt­lung, Ver­ar­bei­tung oder eine andere Form der Be­reit­stel­lung, den Ab­gleich oder die Ver­knüp­fung, die Ein­schrän­kung, das Löschen oder die Ver­nich­tung (Art. 4 Nr. 2 DS-GVO).

Die Be­griff­lich­kei­ten der DS-GVO (Art. 4 Be­griffs­be­stim­mun­gen) können nicht nur nach deut­schem Ver­ständ­nis aus­ge­legt werden. Genauso wenig kann man, ggf. aus Macht der Ge­wohn­heit, sich an dem BDSG a.F. ori­en­tie­ren bzw. an­leh­nen. Es emp­fiehlt sich, auch eine eng­li­sche Sprach­fas­sung der DS-GVO zur Ver­fü­gung zu haben.

 

Im nächs­ten Teil: Was ist Auftragsverarbeitung.

 

AdOrga Solutions GmbH – Ihre Datenschutz-Diplomaten.
Wenn Sie Fragen haben, kon­tak­tie­ren Sie uns: consulting@AdOrgaSolutions.de.
Seit 2007 Lö­sun­gen für pro­fes­sio­nel­len und fach­kun­di­gen Datenschutz.

 

[1] Mit­glieds­staa­ten des EWR: EU, Island, Liech­ten­stein, Norwegen.
[2] Vgl. https://de.statista.com/statistik/daten/studie/14035/umfrage/europaeische-union-bevoelkerung-einwohner/ (zuletzt ab­ge­ru­fen am: 24.04.2021).
[3] Vgl. Kranig, T., Ehmann, E., (2017), S. 3

Wie können wir Ihnen weiterhelfen?

Kontaktieren Sie uns: Wir sind gerne für Sie da!