Leseprobe
Inhalt
Abkürzungsverzeichnis
1. Einleitung
2. Begriffe
2.1 Personenbezogene Daten
2.2 Verarbeitung
2.3 Verantwortlicher
3. Grundsätze
4. Rechenschaftspflicht
4.1 Definition
4.2 Rechenschaft gegenüber Betroffene
4.3 Rechenschaft gegenüber Aufsichtsbehörden
4.4 Rechenschaft gegenüber Aktionäre
5. Fazit
Literaturverzeichnis
Abkürzungsverzeichnis
AG Aktiengesellschaft
DSGVO Datenschutzgrundverordnung
1. Einleitung
Daten sind unumgänglich für die Unternehmenswelt. Vor allem personenbezogene Daten können beispielsweise dabei helfen, kundenspezifische Werbungen zu generieren. Durch die Einführung der DSGVO (Datenschutzgrundverordnung) am 25. Mai 2018 haben einige Unternehmen eine neue Herausforderung bekommen. Eines der Artikeln beinhaltet die Grundsätze für die Verarbeitung personenbezogener Daten.1 Sie bietet die Grundlage für die datenschutzkonforme Verarbeitung personenbezogener Daten.
Die Einhaltung der Grundsätze unterliegt einer Rechenschaftspflicht. Der Verantwortliche ist dafür zuständig, die in Art. 5 Abs. 1 DSGVO genannten Grundsätze einzuhalten und diese bei Bedarf nachzuweisen.2 Die Adressaten sind dabei die Aufsichtsbehörden, der Betroffene und die Shareholder. Wenn dies nicht beachtet wird, drohen Geldbuße von „bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahr, je nachdem, welcher der Beträge höher ist“.3
Die Zielsetzung der Arbeit ist es, die Grundsätze gemäß Art. 5 Abs. 1 DSGVO aufzuzeigen und die Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO gegenüber deren Adressaten näher zu erläutern.
Um die Grundsätze besser zu verstehen, werden erstmal im Kapitel 2.1 Personenbezogene Daten, im Kapitel 2.2 Verarbeitung und im Kapitel 2.3 Verantwortlicher gemäß Art. 4 DSGVO beschrieben.
Im Kapitel 3 werden die einzelnen Grundsätze für die Verarbeitung personenbezogener Daten gemäß Art. 5 Abs. 1 dargestellt. Hierbei geht es um die Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, die Zweckbindung, die Datenminimierung, die Richtigkeit, die Speicherbegrenzung und schließlich um die Integrität und Vertrau- lichkeit.4
Im Anschluss wird im Kapitel 4.1 die Rechenschaftspflicht veranschaulicht. Im Kapitel 4.2 geht es dann um die Rechenschaft gegenüber Betroffene, im Kapitel 4.3 um die Rechenschaft gegenüber Aufsichtsbehörden und im Kapitel 4.4 um die Rechenschaft gegenüber Aktionäre. Kapitel 5 bildet zum Abschluss ein Fazit, das die einzelnen Grundsätze aufzählt und die Rechenschaftspflicht aufzeigt.
2. Begriffe
2.1 Personenbezogene Daten
Mit der DSGVO soll sichergestellt werden, dass der Umgang mit personenbezogenen Daten verantwortungsbewusster und kontrollierter wird.5 Personenbezogene Daten sind in der DSGVO „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“.6 Grundsätzlich kann jede Art von Information auf eine Person bezogen werden. Es kommt außerdem darauf an, welche Möglichkeiten der Verantwortliche hat, die betreffende Informationen zu verarbeiten.7 Sobald der Zuständige damit eine Person identifizieren kann, handelt es sich um personenbezogene Daten. Eine Kundennummer erscheint beispielsweise für Personen, die nichts mit diesem Unternehmen zu tun haben, nicht als personenbezogene Daten. Sobald der Mitarbeiter damit eine Person identifizieren kann, geht es um Daten, die sich auf eine Person beziehen. Auch die IP-Adresse zählt zu den Informationen, die auf eine Person bezogen werden kann. Diese besteht aus einer Reihung von Zahlen, die in der Lage sind, Geräte in Netzwerken und im Internet zu identifizieren.8
2.2 Verarbeitung
Bei den Grundsätzen geht es vor allem um die Verarbeitung der personenbezogene Daten. Die Verarbeitung im Sinne der DSGVO beschreibt jede einzelne Aktivität oder eine Aneinanderreihung dieser Aktivitäten im Zusammenhang mit personenbezogene Da- ten.9 Hierbei spielt es keine Rolle, ob es mit manuellen oder automatisierten Verfahren ausgeführt wird.10 Die Verarbeitung umfasst zum Beispiel „das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“11 personenbezogener Daten. Diese Tätigkeiten übernimmt dann der Auftragsverarbeiter. Dieser ist „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“.12 Bei einem Online-Shop beispielsweise werden ebenfalls Daten verarbeitet. Um etwas bestellen zu können, muss der Kunde zumindest seinen Namen, seine Adresse und ein gültiges Zahlungsmittel angeben. Diese werden dann vom Anbieter erhoben und zum Zweck des Einkaufs gespeichert. Daher zählt dieser Prozess auch zu Verarbeitung.
2.3 Verantwortlicher
Der Verantwortliche ist ein weiterer Adressat für die Einhaltung der Pflichten aus der DSGVO.13 Sie ist eine „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“.14 Nicht zu verwechseln sind diese mit Verarbeitern, die im Auftrag vom Verantwortlichen die Datenverarbeitung durchführen. Der Betroffene selbst ist ebenfalls nicht für die Verarbeitung der Daten verantwortlich. „Der Verantwortliche entscheidet über die Art und Weise der Verarbeitung.“15 Eine natürliche Person beschreibt hierbei eine Person, die nach der Geburt die Rechtsfähigkeit erlangt.16 Sie ist dabei Träger von Rechten und Pflichten.17 Wenn sich mehrere natürliche Personen zusammenschließen oder ihre Vermögen teilen, wird dies als eine juristischen Person bezeichnet.18 Dies kann beispielsweise eine Gesellschaft mit beschränkter Haftung sein.
3. Grundsätze
Der erste Grundsatz beschreibt, dass die Datenverarbeitung auf rechtmäßiger Weise erfolgen soll.19 Von einer rechtmäßigen Datenverarbeitung spricht man, „wenn eine Einwilligung der betroffenen Person vorliegt, zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen, zur Erfüllung einer rechtlichen Verpflichtung, zum Schutze lebenswichtiger Interessen, zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt oder aufgrund einer Interessenabwägung erforderlich ist.“20 Dabei muss mindestens eines dieser Punkte erfüllt werden.21
Außerdem dürfen personenbezogene Daten nur nach Treu und Glauben verarbeitet wer- den.22 Damit ist gemeint, dass das Ausnutzen von Fehlvorstellungen der betroffenen Person oder der Missbrauch dessen Vertrauen untersagt ist. Hierbei wird auf die Interessen der Betroffenen Rücksicht genommen.23
Der Grundsatz der Transparenz beschreibt, „dass alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen Daten leicht zugänglich und verständlich und in klarer und einfacher Sprache abgefasst sind.“24
Die Datenverarbeitung darf nur stattfinden, wenn die eindeutige Zwecke genannt werden und legitim sind.25 Zudem geht es im Grundsatz der Datenminimierung darum, die Daten „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt“26 sind. Die zu verarbeitende Daten müssen sachlich richtig und falls erforderlich auf dem aktuellsten Stand gebracht werden.27 Dabei ist es wichtig, die notwendigen technologischen Möglichkeiten bereitzustellen, um diesen Punkt zu erfüllen und gegebenenfalls die Daten, die unrichtig sind, zu löschen.28
Der Verantwortliche muss in regelmäßigen Abständen überprüfen, ob die festgelegten Zwecke durch die Datenverarbeitung erreicht werden. Falls das nicht der Fall ist, dürfen diese Daten nicht mehr gespeichert werden.29
Darüber hinaus muss bei der Datenverarbeitung durch geeignete technische und organisatorische Maßnahmen sichergestellt werden, dass sie „vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung“30 geschützt sind.
4. Rechenschaftspflicht
4.1 Definition
Die Rechenschaftspflicht wird meistens in Verbindung mit Art. 24 Abs. 1 DSGVO ge- bracht.31 Der Verantwortliche ist hierbei dafür zuständig, geeignete technologische und organisatorische Maßnahmen zu treffen. Damit soll es möglich sein, ein Nachweis erbringen zu können, dass man sich an die DSGVO hält.32 Bei der Rechenschaftspflicht ist der Verantwortliche bei der Verarbeitung dazu verpflichtet, sich an die im Art. 5 Abs. 1 DSGVO genannten Grundsätze einzuhalten. Diese muss er bei Bedarf in Rechenschaft ablegen können.33 Die getroffenen Vorkehrungen zur Einhaltung der Grundsätze muss für jeden einzelnen Grundsatz nachweisbar sein.34 „Dieses ist laufend zu kontrollieren, zu aktualisieren und nach Verarbeitungszwecken, Löschfristen und Maßnahmen zur technischen und organisatorischen Datensicherheit (z. B. die Anonymisierung und Verschlüsselung personenbezogener Daten) zu differenzieren.“35
Bei einem Verstoß der Grundsätze, insbesondere der Grundsatz Rechenschaftspflicht drohen Geldbuße „von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäfts- jahrs“36. Der höhere Betrag wird dabei in Betracht gezogen. Eine Befreiung der Haftung gemäß Art. 82 Abs. 3 ist dabei nicht möglich.37
[...]
1 Vgl. Art. 5 DSGVO.
2 Vgl. Art. 5 Abs. 2 DSGVO.
3 Art. 83 Abs. 5 lit. a DSGVO.
4 Vgl. Art. 5 Abs. 1 DSGVO.
5 Vgl. Voigt, P., von dem Bussche, A., DSGVO, 2018, S. 3.
6 Art. 4 Abs. 1 DSGVO.
7 Erwägungsgrund 26
8 Vgl. Kartheuser, I., Gilsdorf, F., EuGH, 2016.
9 Vgl. Art. 4 Abs. 2 DSGVO.
10 Vgl. Art. 4 Abs. 2 DSGVO.
11 Art. 4 Abs. 2 DSGVO.
12 Art. 4 Abs. 8 DSGVO.
13 Vgl. Raschauer, N., Datenschutz-Grundverordnung, 2018, Rn. 114.
14 Art. 4 Abs. 7 DSGVO.
15 http://eu-datenschutz-grundverordnung.net/verantwortlicher/, Zugriff am 12.07.2020.
16 Vgl. § 1 BGB.
17 Vgl. http://rechtskunde-online.de/inhalte/themen-zivilrecht/rechtsfahigkeit/, Zugriff am 12.07.2020.
18 Vgl. http://rechtskunde-online.de/inhalte/themen-zivilrecht/rechtsfahigkeit/, Zugriff am 12.07.2020.
19 Vgl. Art. 5 Abs. 1 lit. a DSGVO.
20 http://www.dr-datenschutz.de/datenschutz-grundverordnung-rechtmaessigkeit-der-datenverarbeitung/, Zugriff am 14.07.2020.
21 Vgl. Art. 6 Abs. 1 Satz 1 DSGVO.
22 Vgl. Art. 5 Abs. 1 lit. a DSGVO.
23 Vgl. Schantz, P., Datenschutz-Grundverordnung, Art. 5 Rn. 8.
24 Erwägungsgrund 39 Satz 3 DSGVO.
25 Vgl. Art. 5 Abs. 1 lit. b DSGVO.
26 Art. 5 Abs. 1 lit. c DSGVO.
27 Vgl. Art. 5 Abs. 1 lit. d DSGVO.
28 Vgl. Art. 5 Abs. 1 lit. d DSGVO.
29 Vgl. Art. 5 Abs. 1 lit. e DSGVO; Leeb/Liebhaber, JuS 2018, 534, 537.
30 Art. 5 Abs. 1 lit. f DSGVO.
31 Vgl. Hansch, G., ZD 2019, 245, 245.
32 Vgl. Art. 24 Abs. 1.
33 Vgl. Art. 5 Abs. 2.
34 Vgl. Schenck, S., Mueller-Stöfen, T., GWR 2017, 171, 172.
35 Schanz, M., RDG 2018, 158, 159
36 Art. 83 Abs. 5.
37 Vgl. Rossnagel, A., ZD 2018, 339, 341.