Was ist eine Einwilligungserklärung und wann kommt sie zum Einsatz?

Eine Einwilligung nach der DSGVO ist also eine Voraussetzung für die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten. Trifft also keine Rechtsgrundlage von Artikel 6 Abs. 1 lit. b) – f) DSGVO zu, so ist eine Einwilligungserklärung bei der betroffenen Person einzuholen. Das Unternehmen darf also die Verarbeitung nur ausüben, falls eine Einwilligung vorliegt.

Die Einwilligungserklärung sollte durch eine eindeutige, bestätigende Handlung erfolgen. Das kann beispielsweise durch das Ankreuzen einer Checkbox, mit der klassischen Unterschrift oder unter Umständen mit einer mündlichen Erklärung erfolgen. In jedem Fall muss die Einwilligungserklärung nachweisbar sein. Bei folgenden Verarbeitungen müssen Unternehmen eine Einwilligung einholen:

• längere Speicherung der Daten als gesetzlich vorgeschrieben (z.B. Bewerbungen)
• Nutzung von Mitarbeiterfotos auf Webseiten als Kontaktpersonen
• Veröffentlichung von personenbezogenen Daten (z.B. Rezensionen)
• Nutzung von Tracking-Cookies auf Webseiten (z.B. Google Analytics)

Besonderes Augenmerk ist nach der Datenschutz-Grundverordnung auf die Freiwilligkeit einer Einwilligung zu richten. Es kann nur dann davon ausgegangen werden, dass eine betroffene Person ihre Einwilligung freiwillig gegeben hat, wenn sie eine echte und freie Wahl hat, also in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden (siehe ErwGr. 42).

Dies ist beispielsweise in aller Regel nicht der Fall, wenn die Erfüllung eines Vertrags von einer Einwilligung in eine Datenverarbeitung abhängig gemacht wird, die für die Erfüllung des Vertrags nicht erforderlich ist (Art. 7 Abs. 4 i.V.m. ErwGr. 43 DSGVO, sogenanntes Koppelungsverbot).

Zudem liefert eine Einwilligung regelmäßig keine gültige Rechtsgrundlage, wenn zwischen der betroffenen Person und dem Verantwortlichen ein klares Ungleichgewicht besteht, und es deshalb unwahrscheinlich ist, dass die Einwilligung freiwillig gegeben wurde. Dies ergibt sich ebenfalls aus ErwGr. 43.

Antworten zu allgemeinen Fragen zum Datenschutz finden Sie hier.
Welche Voraussetzungen Sie zusätzlich bei der Einwilligungserklärung nach der DSGVO beachten müssen, erfahren Sie im folgenden Absatz.

Einwilligungserklärungen: Voraussetzungen und Maßnahmen

Die Einwilligungserklärung im Datenschutz wird im Artikel 7 der DSGVO geregelt. Zusätzlich werden die Anforderungen im Erwägungsgrund 32 zur DSGVO spezialisiert.

Grundsätzlich kann man sagen, dass ein einfaches Einverständnis nicht mehr ausreichend ist, um datenschutzkonform zu agieren. Denn nach der DSGVO müssen bei der Einholung der Einwilligungserklärung die betroffenen Personen über die Erhebung, Nutzung und Verarbeitung der personenbezogenen Daten aufgeklärt werden. Klassischerweise kann diese Information über eine Datenschutzerklärung gelöst werden. Darüber hinaus sind folgende Punkte zu beachten:

• das Ersuchen um Einwilligung muss in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erfolgen und sie sollte keine missbräuchlichen Klauseln beinhalten
• Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen und zwar so einfach wie die Einwilligung selbst erfolgt
• Eine Verweigerung der Einwilligung darf keine Konsequenzen in Bezug auf Leistungen oder Bewertungen haben, denn sonst ist die Einwilligung nicht mehr freiwillig
• Eine Einwilligungserklärung erfolgt persönlich
• Es gibt keine Formangaben. Schriftliche Form ist jedoch zu empfehlen, aufgrund der Nachweisbarkeit
• Es gilt das Kopplungsverbot: Ein Vertragsabschluss darf nicht an eine weitere Einwilligung gebunden sein
• Eine Einwilligung muss sich von anderen Textpassagen absetzen, z.B. durch einen neuen Absatz, Fettdruck, Umrahmung, etc.

Die richtige Dokumentation von Einwilligungserklärungen

Viele Unternehmen haben auch schon vor dem Inkrafttreten der Datenschutz-Grundverordnung personenbezogene Daten auf Grundlage einer Einwilligungserklärung verarbeitet. Die Einwilligungen, welche vor Mai 2018 eingeholt worden sind, sind nur unter bestimmten Bedingungen wirksam.

Der Erwägungsgrund 171 (3) zur DSGVO beleuchtet diesen Punkt transparent. Sofern die Einwilligung der Art nach den Bedingungen der DSGVO entspricht, darf die Verarbeitung vom Unternehmen weitergeführt werden. Wir zählen nochmal auf, worauf es bei der Gestaltung einer Einwilligung nach DSGVO ankommt:

• Die Erteilung einer wirksamen Einwilligung muss gemäß Art. 7 Abs. 1 DSGVO nachgewiesen werden können, was eine entsprechende Dokumentation voraussetzt.
• Die Einwilligung muss freiwillig abgegeben worden sein, wobei die besonderen Anforderungen nach Art. 7 Abs. 4 DSGVO in Verbindung mit dem ErwGr. 43 DSGVO zu beachten sind.
• Erforderlich ist eine Willensbekundung für den bestimmten Fall, in informierter Weise und in unmissverständlicher Form (Art. 4 Nr. 11 DSGVO), wobei die Anforderungen nach Art. 7 Abs. 2 DSGVO in Verbindung mit ErwGr. 32 und 42 DSGVO zu beachten sind.
• Das Unternehmen muss garantieren können, dass es für die betroffene Person genauso einfach ist, die Einwilligung zu widerrufen, wie die Einwilligung zu erteilen.
• Im Falle der Einwilligung durch ein Kind in Bezug auf Dienste der Informationsgesellschaft müssen die Voraussetzungen nach Art. 8 DSGVO erfüllt sein.

Sind die obigen Bedingungen nicht erfüllt, gelten bisher erteilte Einwilligungen nicht fort.

Die betroffene Person muss darüber hinaus zum Zeitpunkt der Abgabe der Einwilligungserklärung die Informationen zur Verfügung haben, die zur Abgabe einer informierten Einwilligung notwendig sind. Nach ErwGr. 43 sind dies mindestens Informationen darüber, wer der Verantwortliche ist und für welche Zwecke die personenbezogenen Daten verarbeitet werden.

Diese Informationen sind zum Teil identisch mit den nach Art. 13 DSGVO vorgesehenen Informationspflichten. Die darüber hinausgehenden Informationspflichten müssen für die Fortgeltung bisher erteilter Einwilligungen hingegen grundsätzlich nicht erfüllt worden sein. Unabhängig von den genannten Bedingungen für erteilte Einwilligungen müssen künftig die Informationspflichten nach Art. 13 DSGVO beachtet werden.

Mustervorlagen für Einwilligungserklärungen

Im Folgenden stellen wir Ihnen ein Muster für die Einwilligungserklärung nach der DSGVO vor. Es bedarf jedoch einer Anpassung in einem konkreten Einzelfall, da unter anderem die Zwecke konkret beschrieben werden müssen. Unternehmen sollten mindestens eine datenschutzrechtliche Beratung für die Gestaltung einer Einwilligung einholen, welche oftmals schnell erfolgen kann.

Falls Sie eine Einwilligung oder Datenschutzerklärung für Beschäftigte Ihres Unternehmens suchen, finden Sie hier weitere Informationen. Mit unserem Datenschutz-Management-System erhalten unsere Kunden bereits einige Vorlagen für die Einwilligung zur Verwendung (z.B. Einwilligung für Fotos).

Hinweis: Das folgende Muster erhebt keinen Anspruch auf Rechtssicherheit und Vollständigkeit. Es dient lediglich der Veranschaulichung. Darüber hinaus bedarf es bei der Einwilligungserklärung einer expliziten und sachdienlichen Anpassung auf den jeweiligen Einzelfall. Bitte wenden Sie sich an einen Datenschutzbeauftragten, wenn Sie eine datenschutzkonforme Einverständniserklärung aufsetzen wollen.

Welche Folgen hat eine unwirksame Einwilligungserklärung?

Mit welchen Folgen muss ein Unternehmen rechnen, wenn es eine unwirksame Einwilligung erhoben hat? Eine Einwilligungserklärung, die nicht den dargestellten Anforderungen genügt, ist unwirksam und kann nicht als Rechtsgrundlage für eine Datenverarbeitung herangezogen werden. Die Datenverarbeitung in diesem Fall auf eine andere Rechtsgrundlage zu stützen, beispielsweise die Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten (Art. 6 Abs. 1 lit. f) DSGVO), ist grundsätzlich unzulässig, denn der Verantwortliche muss die Grundsätze der Fairness und Transparenz (Art. 5 Abs. 1 lit. a) DSGVO) beachten. Verantwortliche sollten in jedem Fall bei der Verwendung von anderen Rechtsgrundlagen, wie dem berechtigten Interesse, einen Datenschutzbeauftragten für die Bewertung heranziehen. Denn für den wirksamen Einsatz des berechtigten Interesses ist eine Interessenabwägung gem. Art. 6 Abs. 1 lit. f) DSGVO notwendig.

Jedenfalls ist ein willkürliches Wechseln zwischen Einwilligung und anderen Rechtsgrundlagen nicht möglich. Erweist sich die Einwilligungserklärung als unwirksam oder kann der Verantwortliche das Vorliegen der Einwilligung nicht nachweisen, so ist die Verarbeitung der Daten auf dieser Grundlage rechtswidrig. Bei Verstößen gegen die Grundsätze der Verarbeitung, einschließlich der Bedingungen für die Einwilligung, kann von der zuständigen Aufsichtsbehörde nach Maßgabe von Art. 83 Abs. 5 lit. a) DSGVO eine Geldbuße verhängt werden. Außerdem kommen je nach den Umständen des Einzelfalls auch Schadensersatzansprüche der betroffenen Person in Betracht. Lesen Sie hierzu unseren Beitrag zum Thema DSGVO Strafen.

Was ist eine Datenpanne und welche Meldefristen müssen eingehalten werden?

Datenschutzvorfälle bzw. Datenpannen, oder offiziell „Verletzung des Schutzes personenbezogener Daten“ gem. Art. 33 Abs. 1 S.1 1. Hs. DSGVO, gehören genau zu den Szenarien, die jeder Verantwortliche vermeiden sollte. Wenn es aber doch zu einem derartigen Datenschutzvorfall kommt, müssen gewisse Mechanismen etabliert sein, die eine rechtzeitige („unverzüglich und binnen 72 Stunden”, vgl. Art. 33 Abs. 1 DSGVO) Meldung an die zuständige Aufsichtsbehörde ermöglichen, um die gesetzlichen Meldefristen zu erfüllen. Ansonsten ist die verspätete Meldung (erst recht die unterlassene Meldung), unabhängig von dem eigentlichen Datenschutzvorfall, bereits ein eigener Datenschutzverstoß, vgl. Art. 83 Abs. 4 lit. a) DSGVO. Falls daher eine Datenpanne nicht fristgerecht gemeldet ist, kann zu dem eigenen Datenschutzverstoß als solchen ein weiteres Bußgeld von der zuständigen Datenschutzbehörde wegen des Verstoßes gegen die Meldepflicht aus Art. 33 DSGVO erteilt werden. Im absoluten Worst-Case-Szenario drohen Verantwortlichen daher mehrere bzw. höhere Bußgelder.

Zu berücksichtigen ist ferner, dass der Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten gem. Art. 33 Abs. 2 DSGVO unverzüglich dem Verantwortlichen melden muss.

Welchen Inhalt muss eine Meldung an die zuständige Datenschutzaufsichtsbehörde haben?

Der Inhalt der Meldung einer Verletzung des Schutzes personenbezogener Daten gem. Art. 33 DSGVO muss mindestens folgende Angaben enthalten, die in Art. 33 Abs. 3 DSGVO aufgezählt werden: 

• Die Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze (Art. 33 Abs. 3 lit. a) DSGVO)
• Den jeweiligen Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen (Art. 33 Abs. 3 lit. b) DSGVO)
• Die Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten (Art. 33 Abs. 3 lit. c) DSGVO)
• Die Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen (Art. 33 Abs. 3 lit. d) DSGVO)

Art. 33 Abs. 4 DSGVO stellt klar, dass wenn und soweit die Informationen nicht zur gleichen Zeit bereitgestellt werden können, der Verantwortliche diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen kann.

Zu beachten ist ferner, dass den Verantwortlichen Dokumentationspflichten hinsichtlich der Verletzung des Schutzes personenbezogener Daten treffen. Gem. Art. 33 Abs. 5 DSGVO muss der Verantwortliche die Verletzungen des Schutzes personenbezogener Daten inklusive aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen, dokumentieren. Diese Dokumentation muss derart ausgestaltet sein, dass die Aufsichtsbehörde die Überprüfung der Einhaltung des Art. 33 DSGVO überprüfen kann.

Benachrichtigungspflicht bezüglich der betroffenen Personen?

Neben der Meldepflicht können für den Fall der Verletzung des Schutzes personenbezogener Daten weitere Pflichten entstehen: Wenn die in Art. 34 DSGVO genannten Voraussetzungen erfüllt sind, müssen die von der Verletzung des Schutzes personenbezogener Daten betroffenen Personen von dem Verantwortlichen benachrichtigt werden. Das ist gem. Art. 34 Abs. 1 DSGVO dann der Fall, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat. Betroffene Personen müssen dann in klarer und einfacher Sprache über die Art der Verletzung des Schutzes personenbezogener Daten informiert werden. Außerdem muss die Benachrichtigung der betroffenen Personen mindestens die in Art. 33 Abs. 3 lit. b), lit. c) und lit. d) DSGVO genannten Angaben und Maßnahmen enthalten. Auch ein Verstoß gegen diese Pflicht bildet einen eigenen Bußgeldtatbestand, vgl. Art. 83 Abs. 4 lit. a) DSGVO.

Demgegenüber müssen betroffene Personen gem. Art. 34 Abs. 3 DSGVO nicht benachrichtigt werden, wenn eine der folgenden Bedingungen einschlägig ist:

• Der Verantwortliche hat geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen und diese Vorkehrungen wurden auf die von der Verletzung betroffenen personenbezogenen Daten angewandt. Hierzu gehören insbesondere solche Daten, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, z.B. durch Verschlüsselung.
• Die Benachrichtigung der betroffenen Personen ist auch dann nicht erforderlich, wenn der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen gem. Art. 34 Abs. 1 DSGVO aller Wahrscheinlichkeit nach nicht mehr besteht.
• Wenn die Benachrichtigung i.S.v. Art. 34 Abs. 1 DSGVO mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.

Darüber hinaus kann die Aufsichtsbehörde gem. Art. 34 Abs. 4 DSGVO von dem Verantwortlichen verlangen, die betroffenen Personen über die Verletzung des Schutzes personenbezogener Daten zu benachrichtigen, falls der Verantwortliche dies nicht bereits i.S.v. Art. 34 Abs. 1 DSGVO getan hat. Zudem kann die Aufsichtsbehörde nach Art. 33 Abs. 4 DSGVO auch mit einem Beschluss feststellen, dass bestimmte Voraussetzungen des Art. 34 Abs. 3 DSGVO erfüllt sind.

Welche Folgen haben Verstöße gegen diese Vorgaben?

Verstöße gegen die Meldepflicht einer Datenschutzverletzung können gem. 83. Abs. 4 lit. a) DSGVO mit einem Bußgeld von bis zu 10 Mio. EUR oder im Fall eines Unternehmens von bis zu 2 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs geahndet werden, je nachdem, welcher der Beträge höher ist.

Ihr externer Datenschutzbeauftragte etabliert für Sie Prozesse, mit deren Hilfe Verletzungen des Schutzes personenbezogener Daten nach den Vorgaben der DSGVO fristgerecht gemeldet werden. Kontaktieren Sie jetzt das Expertenteam von Keyed für eine individuelle Beratung.

Einführung in § 203 StGB

Die Straftat gemäß § 203 StGB betrifft die Verletzung des Berufsgeheimnisses durch bestimmte Berufsgruppen. Das Berufsgeheimnis ist entscheidend für das Vertrauensverhältnis zwischen Berufstätigen und ihren Klienten oder Kunden. In diesem Beitrag werden wir die Grundlagen von § 203 StGB ausführlich erläutern und ein tieferes Verständnis für diese Straftat schaffen.

Der Schutz des Berufsgeheimnisses ist von großer Bedeutung, da er das Vertrauen in bestimmte Berufsgruppen bewahrt. Dennoch gibt es Situationen, in denen das Berufsgeheimnis durchbrochen werden kann, beispielsweise zur Verhinderung schwerwiegender Straftaten. Im Folgenden werden wir die verschiedenen Aspekte der Straftat gemäß § 203 StGB detailliert betrachten.

Durch die sorgfältige Analyse von § 203 StGB möchten wir Ihnen ein umfassendes Bild der rechtlichen Rahmenbedingungen und möglichen Konsequenzen der Verletzung des Berufsgeheimnisses vermitteln.

Das Verständnis des Straftatbestandes

Um eine Straftat gemäß § 203 StGB zu begehen, müssen bestimmte Elemente erfüllt sein. Es ist wichtig zu verstehen, welche Handlungen als Verletzung des Berufsgeheimnisses gelten und welche Konsequenzen dies nach sich ziehen kann. Im Folgenden werden die verschiedenen Elemente der Straftat gemäß § 203 StGB erläutert.

1. Berufsgeheimnis: Das Berufsgeheimnis bezieht sich auf alle Informationen, die dem Berufstätigen im Rahmen seiner beruflichen Tätigkeit anvertraut wurden und die nicht für die Öffentlichkeit bestimmt sind. Diese Informationen können persönlicher, geschäftlicher oder rechtlicher Natur sein.
2. Verletzung des Berufsgeheimnisses: Eine Verletzung des Berufsgeheimnisses tritt auf, wenn der Berufstätige das ihm anvertraute Geheimnis unbefugt offenbart oder verwertet. Dies kann durch mündliche, schriftliche oder elektronische Kommunikation geschehen.
3. Vorsatz: Um eine Straftat gemäß § 203 StGB zu begehen, muss der Täter vorsätzlich handeln. Das bedeutet, dass er sich der Verletzung des Berufsgeheimnisses bewusst sein und diese bewusst begehen muss.

Elemente der Straftat

Die Straftat gemäß § 203 StGB ist nicht auf bestimmte Berufsgruppen beschränkt. Es gibt jedoch bestimmte Berufsgruppen, bei denen das Berufsgeheimnis eine besonders wichtige Rolle spielt. Im Folgenden werden einige der Berufsgruppen aufgeführt, bei denen eine Verletzung des Berufsgeheimnisses nach § 203 StGB geahndet werden kann.

1. Ärzte und medizinisches Personal: Ärzte und medizinisches Personal haben Zugang zu sensiblen medizinischen Informationen. Eine Verletzung des Berufsgeheimnisses in diesem Bereich kann schwerwiegende Folgen für Patienten haben.
2. Rechtsanwälte und Notare: Rechtsanwälte und Notare sind verpflichtet, das Berufsgeheimnis ihrer Klienten zu wahren. Eine Verletzung dieses Geheimnisses kann das Vertrauen in den Rechtsstaat beeinträchtigen.
3. Steuerberater und Wirtschaftsprüfer: Steuerberater und Wirtschaftsprüfer haben Zugang zu vertraulichen finanziellen Informationen ihrer Mandanten. Eine Verletzung des Berufsgeheimnisses in diesem Bereich kann erheblichen Schaden anrichten.

Arten von Straftaten, die unter § 203 StGB fallen

Die Strafen für eine Verletzung des Berufsgeheimnisses gemäß § 203 StGB können je nach Schwere des Verstoßes variieren. Im Folgenden werden die möglichen Strafen und Konsequenzen für eine Straftat gemäß § 203 StGB erläutert.

1. Geldstrafe: Bei einer geringfügigen Verletzung des Berufsgeheimnisses kann eine Geldstrafe verhängt werden. Die Höhe der Geldstrafe richtet sich nach dem Einkommen des Täters und der Schwere des Verstoßes.
2. Freiheitsstrafe: Bei schwerwiegenderen Verstößen gegen das Berufsgeheimnis kann eine Freiheitsstrafe verhängt werden. Die Dauer der Freiheitsstrafe hängt von der Schwere des Verstoßes ab.
3. Berufsverbot: In einigen Fällen kann eine Verletzung des Berufsgeheimnisses dazu führen, dass der Täter sein Recht zur Ausübung seines Berufs verliert. Dies kann erhebliche berufliche Konsequenzen haben.

Strafen und Folgen

Im Laufe der Geschichte gab es einige berühmte Fälle, in denen eine Verletzung des Berufsgeheimnisses nach § 203 StGB eine Rolle spielte. 

Vor einigen Jahren sorgte der Fall eines Schweizer Psychiaters für Aufsehen: In diesem Fall sollte ein Psychiater ein Arbeitszeugnis über einen Angestellten ausstellen. Der Psychiater reichte das siebenseitige „Vertrauensärztliche Beurteilung der Arbeitsunfähigkeit“ beim Arbeitgeber ein. Das Dokument enthielt vertrauliche Informationen über die finanzielle und private Angelegenheiten. Der Arzt war zwar dazu ermächtigt worden, das ärztliche Zeugnis zu verfassen, dies hätten aber keine sensiblen Informationen enthalten dürfen, sondern nur die Tatsache, die Dauer und der Grad der Arbeitsunfähigkeit.

Solche Fälle können das Vertrauen in den behandelnden Arzt oder Ärztin sowie in das Gesundheitssystem schwer schädigen.

Datenschutzrechtliche Folgen durch Verletzung von § 203 StGB

Auch der Datenschutz schützt die Privatsphäre. Im Gegensatz zum Datenschutz, der nur personenbezogene Daten umfasst, betrifft die Schweigepflicht alle bekannten Informationen über den Patienten oder die Patientin bzw. den Mandanten oder die Mandantin.

Eine Verletzung von § 203 StGB führt also häufig auch zu einem Datenschutzverstoß, insbesondere wenn es um Gesundheitsdaten geht.

In beiden Fällen können hohe Bußgelder, Geldstrafen, eine Freiheitsstrafe (nach § 42 I BDSG bis zu drei Jahre und nach dem StGB bis zu zwei Jahre) sowie eine Schadensersatzpflicht die Konsequenz sein. Ein Verstoß gegen § 203 kann zusätzlich zu einem Berufsverbot oder zur Kündigung führen.

Erlangt der Datenschutzbeauftragte Kenntnis von Geheimnissen, während er für eines der Mitglieder der Berufsgruppen nach § 203 Abs. 1 und 2 StGB tätig ist, macht er sich ebenfalls strafbar, wenn er die Informationen weitergibt.

Gesetzliche Offenbarungspflichten oder Offenbarungsbefugnisse

Unter bestimmten Umständen greifen Offenbarungspflichten bzw. Offenbarungsbefugnisse, die die Berufsgeheimnisträger von ihrer Schweigepflicht entbinden. Solche Ausnahmen liegen zum Beispiel in folgenden Fällen vor:

1. Befreiung von der Schweigepflicht
2. Gefahr im Verzug
3. Verdacht auf schwerwiegende Straftaten
4. Anfragen der zuständigen Behörden an Krankenhäuser

Verpflichtung zur Verschwiegenheit

Anwälte haben eine rechtliche Verpflichtung zur Verschwiegenheit gegenüber ihren Mandanten. Diese Verpflichtung ist in § 203 StGB verankert. Sie dürfen keine Informationen, die ihnen im Rahmen ihrer beruflichen Tätigkeit anvertraut wurden, an Dritte weitergeben, es sei denn, es liegt eine ausdrückliche Einwilligung des Mandanten vor oder es besteht eine gesetzliche Ausnahme.

Eine Verpflichtungserklärung zur Verschwiegenheit muss den Umfang, was von der Erklärung abgedeckt ist, enthalten, gegenüber wem sie besteht und wie lange. Zudem muss der Arbeitgeber seine Mitarbeitenden über die gesetzlichen Bestimmungen bezüglich der Schweigepflicht informieren (insbesondere § 203, 204 StGB, § 53a StPO, §§ 383, 385 ZPO).

Die Verschwiegenheitserklärung umfasst alle Informationen, von denen während der Tätigkeit Kenntnis erlangt wird, aber auch auf schriftliche Dokumente des Patienten oder der Patientin bzw. des Mandanten oder der Mandantin sowie alle firmeninternen Angelegenheiten und Informationen über die anderen Mitarbeitenden. Die Verschwiegenheitspflicht gilt grundsätzlich gegenüber allen Dritten, also auch gegenüber der eigenen Familie, der Familie des Patienten oder der Patientin bzw. des Mandanten oder der Mandantin und den anderen Mitarbeitenden der Firma. 

Die Erklärung besteht über den Tod des Patienten oder der Patientin bzw. des Mandanten oder der Mandantin fort und auch über das eigene Beschäftigungsverhältnis hinaus. Für die Praxis bietet es sich an, gleich alle Verpflichtungen gesammelt in einer Vertraulichkeitsverpflichtung abzubilden (StGB, DSGVO, GeschGehG, ggf. SGB etc.)

Fazit

Wenn Sie zu der von § 203 StGB angesprochenen Berufsgruppe gehören, sollten Sie also aufpassen und besonders vorsichtig mit den Ihnen anvertrauten Daten und Informationen sein. Diese sollten nur weitergegeben werden, wenn eine gesetzliche Ausnahme besteht. Ansonsten drohen Sanktionen nach § 203 StGB und nach der DSGVO. Doch Verletzungen der Schweigepflicht sorgen nicht nur für Sanktionen, sondern führen auch dazu, dass Patientinnen und Patienten ihrem Arzt oder ihrer Ärztin nicht mehr vertrauen oder langsam das Vertrauen in den Rechtsstaat verlieren.

Berufsgeheimnisträger sollten insbesondere bei Beauftragung von Dienstleistern darauf achten, dass Auftragsverarbeitungsverträge (AVV) abgeschlossen werden, welche neben der Vertraulichkeit gem. DSGVO auch das Berufsgeheimnis i.S.d. § 203 StGB berücksichtigt.

Was ist eine Datenschutzrichtlinie?

Eine Datenschutzrichtlinie ist eine Zusammenführung von internen Themen des Datenschutzes und dient als Unterweisung und Orientierung für alle Mitarbeiter. Bei den Inhalten handelt es sich um einseitige Vorgaben des Arbeitgebers an die Arbeitnehmer, weshalb diese Vorgaben einzuhalten sind. Um das Prinzip der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO zu erfüllen, sollten Unternehmen Datenschutzrichtlinien schriftlich an die Mitarbeiter ausgeben und mit der Unterschrift gegenzeichnen lassen. Wichtig ist in diesem Zusammenhang, dass sichergestellt wird, dass wirklich alle Mitarbeiter Kenntnis von dem Inhalt der Datenschutzrichtlinie genommen haben. Neben der Erfüllung datenschutzrechtlicher Vorgaben sind Datenschutzrichtlinien auch ein Qualitätsmerkmal, da auf diese Weise hohe Standards, für alle Mitarbeiter, auf allen Ebenen festgehalten werden. Auch für Software-Teams ist eine Datenschutzrichtlinie beispielsweise besonders wichtig, da auf diese Weise Konfigurationen nach dem Prinzip Privacy by design vorgenommen werden können. Generell ist eine Datenschutzrichtlinie für Abteilungen mit einer IT-Affinität stets bedeutsam, da nahezu auf allen IT-Geräten und in allen IT-Anwendungen personenbezogene Daten verarbeitet werden. Umso wichtiger ist es, auch diese Fälle in eine Datenschutzrichtlinie einzubeziehen.

Unterschied Datenschutzerklärung und Datenschutzrichtlinie

Zu unterscheiden von einer Datenschutzrichtlinie ist die sogenannte Datenschutzerklärung (kurz: DSE). Beides sind wichtige Bestandteile der DSGVO.

Eine Datenschutzerklärung erfüllt die Informationspflichten gem. Art. 12 ff. DSGVO und ist deswegen auf der jeweiligen Webseite der Unternehmen verfügbar. Sie findet sich zumeist unter dem Punkt „Datenschutz“ und informiert die Betroffenen über die Verarbeitung personenbezogener Daten. Unter Berücksichtigung der digitalisierten Welt kommt der DSE eine wichtige Aufgabe zu, die es in Form des Art. 12 DSGVO umzusetzen gilt. Nur eine präzise, transparente, verständliche und leicht zugängliche DSE erfüllt die Anforderungen der DSGVO. Zudem müssen Datenschutzerklärungen einen bestimmten Inhalt zur Verfügung stellen gem. Artt. 13 und 14 DSGVO, diese Voraussetzungen sind jedoch in der Praxis nicht immer einfach zu erreichen.

Seit dem Inkrafttreten der DSGVO haben Verantwortliche, die personenbezogene Daten verarbeiten, viele neue Verpflichtungen zu erfüllen. Zum einen müssen interne Regelungen getroffen werden und einheitliche Konzepte erarbeitet werden, die die Umsetzung des Datenschutzes im Unternehmen gewährleisten. Dies wird unter anderem durch die Erstellung von Datenschutzrichtlinien umgesetzt. Zum anderen müssen betroffene Personen ausreichend über die Verarbeitung ihrer personenbezogenen Daten informiert werden. Eine Datenschutzerklärung und eine Datenschutzrichtlinie unterscheiden sich insofern, als die Datenschutzrichtlinie eine interne Umsetzung des Datenschutzes im Unternehmen ist, die von allen Mitarbeiter einzuhalten ist und eine Datenschutzerklärung die Erfüllung der Informationspflichten gegenüber Betroffenen sicherstellt.

Erlasse einer Datenschutzrichtlinie können somit Auswirkungen auf die Datenschutzerklärung haben, wenn z.B. Punkte zur Erfüllung der Betroffenenrechte inbegriffen sind oder Mitarbeiter Handlungsanweisungen zum Thema Datenschutzerklärung erhalten.

Wer muss eine Datenschutzrichtlinie erstellen?

Alle Unternehmen und Organisationen müssen zur Einhaltung der gesetzlichen Pflichten aus dem Datenschutz eine Datenschutzrichtlinie erstellen. Die Pflicht, eine Datenschutzrichtlinie zu erstellen, resultiert aus den Vorgaben des Art. 32 DSGVO (technisch-organisatorische Maßnahmen), denn um den erforderlich Stand im Datenschutz herzustellen bzw. zu gewährleisten, sind insbesondere organisatorische Maßnahmen erforderlich. Zu diesen zählen unter anderem Datenschutzrichtlinien, um alle Mitarbeiter bindend auf aktuelle datenschutzrechtliche Vorgaben zu verpflichten. Diese Pflicht trifft alle verantwortlichen Unternehmen und somit die jeweilige höchste Managementebene innerhalb eines Unternehmens. Nur auf diese Weise sind Unternehmen in der Lage, einen konformen Umgang mit dem Datenschutz im Rahmen von Verarbeitungen von personenbezogenen Daten zu garantieren. Die Pflicht, den Nachweis für die Einhaltung des Datenschutzes zu erbringen, besteht u.a. gegenüber Behörden aber vor allem aus qualitätssichernden Gründen auch gegenüber Kunden.

Datenschutzrichtlinie Muster

Unsere Muster-Datenschutzrichtlinie dient Unternehmen als erster Orientierungspunkt für die individuelle Erstellung einer Datenschutzrichtlinie. Eine Datenschutzrichtlinie muss stets nach den individuellen Anforderungen des verantwortlichen Unternehmens erstellt werden und variiert darüber hinaus stets nach der jeweiligen Branche und der Arbeitsweise eines Unternehmens. Auf der Basis unseres Musters und in Absprache mit Ihrem Datenschutzbeauftragten können Sie eine maßgeschneiderte Datenschutzrichtlinie für Ihr Unternehmen entwerfen. Wichtig ist in diesem Zusammenhang, alle Verarbeitungen, die im Zusammenhang mit den IT-Systemen stattfinden, vorab zu identifizieren. Darüber hinaus sollte intern bereits feststehen, in welcher Form mobile Geräte zum Einsatz kommen und welche Mitarbeiter diese Mittel für die Erfüllung der betrieblichen Aufgaben benötigen.

Die rot markierten Passagen in der Muster-Datenschutzrichtlinie sind individuell auszufüllen. Auch der Aufbau und die weiteren unmarkierten Passagen sind lediglich Vorschläge und dienen als Muster, weshalb die Formulierungen für jedes Unternehmen angepasst werden müssen. Alle Überschriften ab § 4 a müssen ferner individuell mit Regelungen für die Situation in Ihrem Unternehmen ausgefüllt werden. Mehr zur Richtlinie IT-Nutzung durch Beschäftigte erfahren Sie hier.

Inhalte einer Datenschutzrichtlinie

Für den Inhalt einer Datenschutzrichtlinie existiert ein gewisser Handlungsspielraum. Gewisse Aspekte müssen allerdings zwingend in einer Datenschutzrichtlinie geregelt sein, um die Wirksamkeit für die Einhaltung von datenschutzrechtlichen Vorgaben nicht zu gefährden. Insbesondere Regelungen zu technisch-organisatorischen Maßnahmen (kurz: TOM) nach den Vorgaben des Art. 32 DSGVO gehören in die Datenschutzrichtlinie. Hierzu gehören Regelungen für u.a. den folgenden Bereichen für einen datenschutzkonformen Umgang.

Liste für die Erstellung einer Datenschutzrichtlinie

Die Inhalte der Datenschutzrichtlinie sollten immer in enger Absprache mit dem Datenschutzbeauftragten und der IT-Leitung definiert werden, da die Regelungen beide Bereiche wesentlich beeinflussen. Darüber hinaus kann die IT-Leitung Regelungen empfehlen, die für eine besonders hohe IT-Sicherheit von Relevanz sind. Mehr zum Thema Internet-Nutzung durch Beschäftigte erfahren Sie in diesem Beitrag.

Aufbau der Datenschutzrichtlinie

Eine Datenschutzrichtlinie sollte zu Beginn eine Präambel mit einer kurzen Einleitung enthalten. An dieser Stelle können Ausführungen zum Inhalt der Datenschutzrichtlinie sowie zu der Notwendigkeit des Dokumentes und der Beschreibungen zum Stellenwert des Datenschutzes gemacht werden. Darüber hinaus können Unternehmen zu Beginn der Datenschutzrichtlinie wichtige Kontaktdaten, z.B. des Datenschutzbeauftragten nennen, damit Arbeitnehmer ihre Rückfragen zu den Regelungen in der Datenschutzrichtlinie stellen können. Im Anschluss können dann alle internen Richtlinien und Konzepte als Arbeitsanweisungen zum Datenschutz aufgezählt werden. An dieser Stelle können Unternehmen auch Prozesse zum Datenschutz im Sinne eines Datenschutz-Management-Systems auflisten. Optional können aktuelle technisch-organisatorische Maßnahmen i.S.v. Art. 32 DSGVO als Anlage beigefügt werden.

Aufgabe des Datenschutzbeauftragten gemäß DSGVO

Der Datenschutzbeauftragte erfüllt in erster Linie eine neutrale Kontrollfunktion für die Verarbeitung von personenbezogenen Daten durch Unternehmen im Sinne der DSGVO. Dabei sollte ein Datenschutzbeauftragter immer leicht für die relevanten Personen erreichbar sein und über genügend Ressourcen verfügen. Die wesentliche Aufgabe ist neben der Überwachung auch die Beratung des Unternehmens, welches personenbezogene Daten verarbeitet.

Liste der Aufgaben eines Datenschutzbeauftragten

Die Hauptaufgaben eines Datenschutzbeauftragten sind:

• Unterrichtung und Beratung: Der Datenschutzbeauftragte informiert und berät Unternehmen zu Datenschutzfragen und unterstützt sie dabei, ihre Pflichten zu erfüllen. Dies fördert die Vereinbarkeit von Datenschutz und Unternehmertum. Beratung umfasst den Verantwortlichen (meist der Unternehmer) und seine Mitarbeiter. Laut Art. 37 Abs. 1 DSGVO muss der Datenschutzbeauftragte frühzeitig in alle Datenschutzangelegenheiten eingebunden werden.
• Überwachung des Datenschutzes: Der Datenschutzbeauftragte sorgt dafür, dass Unternehmen die DSGVO einhalten. Wichtig sind auch die Überwachung von Zuständigkeiten und die Schulung der Mitarbeiter. Die Unternehmensführung muss den Datenschutzbeauftragten unterstützen und ihm die nötigen Mittel bereitstellen. Zudem ist der Datenschutzbeauftragte in seinen Entscheidungen unabhängig.
• Zusammenarbeit mit Aufsichtsbehörden: Der Datenschutzbeauftragte kommuniziert mit den Aufsichtsbehörden und koordiniert bei Datenschutzverstößen oder Meldepflichten. Er achtet darauf, dass die Fristen der DSGVO eingehalten werden und löst damit verbundene Probleme. Er ist für die Aufsichtsbehörde und andere Personen der Hauptansprechpartner für Fragen zum Datenschutz.
• Datenschutzfolgenabschätzung: Zusätzlich gehört auch die Beratung bei Datenschutz-Folgenabschätzungen und in diesem Zusammenhang die vorherige Konsultation gem. Art. 36 DSGVO zu den Aufgaben des Datenschutzbeauftragten. Der Datenschutzbeauftragte unterstützt den Verantwortlichen bei der richtigen Erstellung der Risikoanalyse bzw. der Risikoabschätzung, bevor die jeweilige Datenverarbeitung durchgeführt wird.
• Erstellung von Richtlinien: Um dem Prinzip der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO gerecht zu werden, hilft der Datenschutzbeauftragte dem Verantwortlichen bei der Erstellung von Datenschutzrichtlinien z.B. für die IT– und Internet-Nutzung. Durch diese soll erreicht werden, dass eine einheitliche interne Regelung zum Datenschutz im Unternehmen getroffen wird.
• Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten: Die Pflicht zur Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten tragen gem. Art. 30 DSGVO verantwortliche Stellen sowie Auftragsverarbeiter. Der Datenschutzbeauftragte unterstützt bei den notwendigen Angaben des VVT und hilft bei den inhaltlichen Anforderungen gem. Art. 30 Abs. 1 lit. a) bis g) DSGVO. Er kontrolliert das angefertigte VVT auf Schlüssigkeit und kann zur Verbesserung beitragen.

Aufgabe des Datenschutzbeauftragten im Detail

Schwerpunkt der Tätigkeit eines Datenschutzbeauftragten ist die Beratung. Dies betrifft alle Fragen rund um das Thema Datenschutz. Die Beratung erfolgt dabei vor Ort, telefonisch und per E-Mail. Daneben ist gerade die Erstellung von gesetzlich erforderlichen Dokumentationen essenziell: In der DSGVO wurde nämlich erst eine sog. Beweislastumkehr in Art. 5 Abs. 2 DSGVO geregelt. Das bedeutet, dass Unternehmen den Nachweis für die Einhaltung der datenschutzrechtlichen Vorgaben erbringen müssen. Das ist einer der Gründe, warum nahezu alle datenschutzrechtlichen Aufgaben dokumentiert werden müssen. Um Unternehmen von dieser zeitaufwendigen Dokumentationspflicht zu entlasten, übernimmt der Datenschutzbeauftragte die Anfertigung der Dokumentationen. Dies gilt insbesondere für das Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO oder für die Niederschrift von eingerichteten technisch-organisatorischen Maßnahmen i.S.v. Art. 32 DSGVO. Die Schulung der Mitarbeiter und die Zusammenarbeit mit den Aufsichtsbehörden sind ebenfalls ein wichtiger Aufgabenbereich des Datenschutzbeauftragten. Die beratende und teilweise auch federführende Tätigkeit im Bereich von Datenschutz-Folgenabschätzungen gem. Art. 35 DSGVO, ist eine weitere Tätigkeit des Datenschutzbeauftragten, durch welche verantwortliche Unternehmen ungemein entlastet werden.

Zusätzlich kann der Datenschutzbeauftragte gem. Art. 37 bis Art. 39 DSGVO u.a. folgende Aufgaben übernehmen:

• Kommunikation mit Auftragsverarbeitern und Dienstleistern
• Erstellung von Auftragsverarbeitungsverträgen (AVV)
• Koordination der Abschlüsse von Auftragsverarbeitungsverträgen
• Prüfung und Erstellung von Datenschutzerklärungen
• Erstellung und Prüfung von Einwilligungserklärungen
• Entwicklung eines Verfahrens für die Bearbeitung von Betroffenenrechten
• Prüfung von technisch-organisatorischen Maßnahmen
• Empfehlungen für gesetzlich erforderliche technisch-organisatorische Maßnahmen
• Entwurf von Berechtigungs– und Löschkonzepten
• Prüfung und Niederschrift von Informationsschreiben für betroffene Personen
• Erstellung von Vertragswerken, wie z.B. EU-Standard-Datenschutzklauseln gem. Art. 46 Abs. 2 lit. c) DSGVO für den Transfer von personenbezogenen Daten in Drittländer oder der Entwurf eines Vertrages zur gemeinsamen Verantwortlichkeit gem. Art. 26 DSGVO

Ablauf der Aufgaben eines Datenschutzbeauftragten

Datenschutzbeauftragte befolgen bei der Erfüllung ihrer Aufgaben in der Regel einen bestimmten idealtypischen Ablauf: Zunächst werden im Rahmen einer Prozessanalyse bzw. Bestandsaufnahme alle derzeit stattfindenden Verarbeitungen von personenbezogenen Daten und der aktuelle Stand im Datenschutz aufgenommen, anschließend werden gesetzlich erforderliche Dokumentationen angefertigt. Datenschutzrechtlich erforderliche Maßnahmen werden im nächsten Schritt in Absprache mit dem verantwortlichen Unternehmen umgesetzt und weitere erforderliche Handlungsbedarfe festgehalten. Gleichzeitig wird von Beginn an ein Datenschutz-Management-System etabliert, um die komplexen Aufgaben im Datenschutz übersichtlich, agil und dynamisch zu lösen. 

Welche Aufgaben eines Datenschutzbeauftragten fallen regelmäßig im Unternehmen an?

Datenschutzbeauftragte fertigen in der Regel im ersten Schritt nach der Auditierung bzw. Bestandsaufnahme die gesetzlich erforderlichen Dokumentationen an. Hierzu gehören beispielsweise das Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO, Einwilligungserklärungen nach Art. 7, 8 DSGVO, Informationsschreiben gem. Art. 12 ff. DSGVO oder die Erstellung von Berichten, beispielsweise im Anschluss an eine Auditierung.

Die erforderlichen Schulungen von Mitarbeitern im Datenschutz können persönlich von dem Datenschutzbeauftragten durchgeführt werden oder mittels einer E-Learning-Plattform koordiniert werden. Die Beratung von verantwortlichen Unternehmen in allen datenschutzrechtlichen Fragen beansprucht den größten Teil im Aufgabenbereich eines Datenschutzbeauftragten. Auch die Bearbeitung von Betroffenenrechten, wie z.B. im Fall der Geltendmachung eines Auskunftsrechts gem. Art. 15 DSGVO, kann an den Datenschutzbeauftragten delegiert werden. 

Mehr zu den Kosten von Datenschutzbeauftragten erfahren Sie hier.

Ist ein Datenschutzbeauftragter weisungsbefugt?

Unter einer Weisung versteht man eine Anordnung, die beschreibt, das etwas zu erledigen, oder zu unterlassen ist. Eine Weisungsbefugnis wird grundsätzlich Vorgesetzten zugeschrieben. Aufgrund ihrer Fachkompetenz und Erfahrung erteilen sie Handlungsanweisungen an Weisungsgebundene. Weisungsfreiheit hingegen liegt vor, wenn jemand nicht an Weisungen gebunden ist. Diese Definitionen spielen auch für die Stellung des Datenschutzbeauftragten eine wichtige Rolle, denn er ist zwar weisungsfrei, jedoch nicht weisungsbefugt. Konkret bedeutet dies, dass er seiner Tätigkeit nachgehen muss, ohne Handlungsanweisungen von einem Vorgesetzten zu erhalten. Allerdings darf er selbst keine verpflichtenden Anweisungen geben, sondern lediglich beratend tätig werden.

Für die Beratung durch den Datenschutzbeauftragten gilt die Regelung des unmittelbaren Berichtswegs an die höchste Managementebene gem. Art. 38 Abs. 3 S. 3 DSGVO. Er hat somit die Verpflichtung direkt an den Verantwortlichen, dessen Managementebene oder an den Auftragsverarbeiter zu berichten. Die Berichtspflicht des Datenschutzbeauftragten umfasst auch die Pflicht der Regelmäßigkeit, diese kann halbjährlich oder jährlich sein. Berichte müssen also in regelmäßigen Abständen unmittelbar an die höchste Managementebene gegeben werden.

Kann jeder zum Datenschutzbeauftragten werden?

Laut Gesetz kann nicht jeder zum Datenschutzbeauftragten ernannt werden. Jede Person, die in einem Interessenkonflikt steht oder bei der die Selbstkontrolle gefährdet ist, ist hiervon explizit gem. Art. 39 Abs. 6 S. 2 DSGVO ausgeschlossen. Dieser Fall liegt vor, wenn der Datenschutzbeauftragte anderen Aufgaben nachkommt, die im Zielkonflikt mit den Grundaufgaben des Datenschutzbeauftragten gem. Art. 39 DSGVO stehen. Zum Beispiel wird die Kontrollfunktion geschwächt, wenn der Datenschutzbeauftragte gleichzeitig der Geschäftsführer oder eine dieser nahestehenden Person ist. Die Berliner Datenschutzbehörde hat hierfür bereits ein Unternehmen mit einem Bußgeld über 525.000 € bestraft. Solange die datenschutzrechtliche Beratung von einer neutralen Basis ausgeht, die Überwachung des Datenschutzes nicht beeinflusst wird und die Korrespondenz mit Aufsichtsbehörden ebenfalls datenschutzrechtlich neutral gestaltet wird, stellen andere Aufgaben keinen Interessenkonflikt dar.

Die Aufsichtsbehörden sind sich einig, dass die oberste Leistungsebene, also Personen wie der Geschäftsführer, Inhaber, leitende Angestellte, Manager oder Prokuristen, nicht als Datenschutzbeauftragte für das eigene Unternehmen ernannt werden dürfen. Die Vertretungspflicht der Person widerspricht der Kontrollfunktion aus Sicht der DSGVO.

Welche Qualifikation muss ein Datenschutzbeauftragter haben?

Um der Stellung des Datenschutzbeauftragten im Sinne der DSGVO gerecht zu werden, müssen in jedem Fall die Vorgaben des Art. 37 Abs. 5 DSGVO erfüllt sein. Abweichende nationale, z.B. deutsche Regelungen, sind von der DSGVO nicht vorgesehen und auch nicht zugelassen. Den Mitgliedstaaten steht es lediglich offen, ergänzende bzw. zusätzliche Qualifikationen vorauszusetzen. Grundsätzlich muss ein Datenschutzbeauftragter drei Hauptaufgaben erfüllen: Er muss auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens im Bereich Datenschutzrecht benannt werden. Des Weiteren muss der gleiche Qualifikationsstandard für die Datenschutzpraxis vorliegen. Für die dritte Qualifikation muss der Datenschutzbeauftragte in der Lage sein, auf Grundlage seiner Fähigkeiten, die in Art. 39 DSGVO genannten Aufgaben zu erfüllen. Diese Qualifikationen sollten bereits im Vorfeld, also vor Ernennung zum Datenschutzbeauftragten vorliegen. Die Praxis zeigt jedoch, dass dies nicht immer nahtlos möglich ist. Dennoch sollten die Qualifikationen schnellstmöglich nach Ernennung nachgeholt werden und sodann auch erhalten werden. Bedeutet, dass das Wissen stets aktuell gehalten werden muss, um die datenschutzrechtlichen Vorgaben zu erfüllen. Datenschutzbeauftragte können ihr Fachwissen mit entsprechenden Gütesiegeln wie z.B. vom TÜV oder IHK nachweisen. Dabei ist zu berücksichtigen, dass Zertifikate eine Momentaufnahme darstellen und eventuell nicht ausreichend Fachwissen vermitteln, um komplexere datenschutzrechtliche Themen zu behandeln.

Was ist eine Datenschutz Folgenabschätzung?

Die Datenschutz-Folgenabschätzung ist in Art. 35 DSGVO geregelt. Bei der DSFA handelt es sich um eine Risikoanalyse bzw. Risikoabschätzung, die im Voraus vor der jeweiligen Datenverarbeitung durchgeführt werden muss. Sie regelt die Rahmenbedingungen für Datenschutz und Datensicherheit. Darüber hinaus beschreibt, bewertet und reduziert sie die Risiken. Dabei ist die Datenschutz-Folgenabschätzung nicht vor jeder Datenverarbeitungstätigkeit durchzuführen.

Die Erforderlichkeit der Durchführung einer Datenschutz-Folgenabschätzung hängt von der jeweiligen Verarbeitung ab. Wann eine DSFA notwendig ist, wird im Art.35 Abs.1 aufgezählt. Diese Auflistung ist allerdings nicht abschließend (vgl. Formulierung “insbesondere”).

Die Datenschutz-Folgenabschätzung hat eine Kontrollfunktion für datenverarbeitende Stellen und schützt die personenbezogenen Daten der betroffenen Personen, da eine ausführliche Bewertung der Datenverarbeitungsprozesse erfolgt. Die Erforderlichkeit der Durchführung einer Datenschutz-Folgenabschätzung ist in Deutschland dabei gar nicht wirklich neu. Bereits im alten BDSG existierte eine ähnliche Vorgabe: Gem. § 4d Abs. 5 und 6 BDSG-alt mussten verantwortliche Stellen im Fall einer automatisierten Verarbeitung mit besonderen Risiken für Rechte und Freiheiten der betroffenen Personen eine Vorabkontrolle vor Beginn der Verarbeitung durchführen.

Wann ist eine Datenschutz-Folgenabschätzung durchzuführen?

Eine DSFA stellt sich immer dann als notwendig dar, wenn ein voraussichtlich hohes Risiko bei der Verarbeitung von personenbezogenen Daten zu vermuten ist. Sie erfolgt nach dem sogenannten Scoringverfahren, einem Punktebewertungsverfahren und endet mit der Risikoanalyse. Laut Art. 35 Abs. 1 S.1 DSGVO ist die Datenschutz-Folgenabschätzung durchzuführen, wenn die Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Dies passiert insbesondere bei Verwendung neuer Technologien, wegen der Art, des Umfangs, der Umstände und Zwecke der Verarbeitung. In Art. 35 Abs. 3 DSGVO werden weitere Fälle genannt, in welchen eine Datenschutz-Folgenabschätzung vorzunehmen ist. Auch hier werden die Fälle allerdings nicht abschließend, sondern nur beispielhaft genannt. Die sogenannte Art. 29 Datenschutzgruppe liefert zur Erkennung von hohes Risiken weitere Kriterien als Orientierung.

Eine DSFA ist immer dann durchzuführen, wenn eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen erfolgt. Diese gründet sich auf die automatisierte Verarbeitung inklusive Profiling und kann ihrerseits als Grundlage für Entscheidungen dienen. Des Weiteren kann sie eine Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlicher erheblicher Weise beeinträchtigen.

Darüber hinaus ist eine DSFA auch dann durchzuführen, wenn eine umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gem. Art. 9 Abs. 1 DSGVO stattfindet. Dies trifft auch bei der Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gem. Art. 10 DSGVO zu. Auch im Fall der systematischen, umfangreichen Überwachung öffentlich zugänglicher Bereiche ist eine Datenschutz-Folgenabschätzung durchzuführen.

Beispiele für die Erforderlichkeit einer Datenschutz-Folgenabschätzung

Die bisher genannten Beispiele bezüglich der Erforderlichkeit einer Datenschutz-Folgenabschätzung sind nicht sehr spezifisch, weshalb die Ermittlung der Erforderlichkeit oft Schwierigkeiten bereitet.

Hier hat der europäische Gesetzgeber aber mit der Regelung in Art. 35 Abs. 4 DSGVO den zuständigen Datenschutzbehörden eine Pflicht auferlegt, weitere Konkretisierungen vorzunehmen. Gemäß Art. 35 Abs. 4 S.1 DSGVO muss die Aufsichtsbehörde eine Liste der Verarbeitungsvorgänge erstellen, für die gem. Art. 35 Abs. 1 DSGVO eine Datenschutz-Folgenabschätzung erforderlich ist. Die meisten Datenschutzbehörden der Bundesländer sind dieser Pflicht, mehr oder weniger, nachgekommen:

• Baden-Württemberg
• Brandeburg
• Bremen (für nicht-öffentlichen Bereich, Download im Bereich “Datenschutz in Europa” / “Datenschutz-Folgenabschätzung”)

• Hamburg (für öffentlichen Bereich; nicht-öffentlicher Bereich)
• Hessen
• Mecklenburg-Vorpommern (für öffentlichen Bereich)
• Niedersaschen
• Nordrhein-Westfalen (öffentlicher Bereich; nicht-öffentlicher Bereich)
• Rheinland-Pfalz (öffentlicher Bereich; nicht-öffentlicher Bereich)
• Saarland
• Sachsen
• Sachsen-Anhalt
• Schleswig-Holstein
• Thüringen
• Bayern

Bei diesen sog. Blacklists und Whitelists handelt es sich um Positivlisten / Negativlisten, bei welchen Verarbeitungen mögliche Bedrohungen entstehen könnten. Derzeit sind 16 Verarbeitungstätigkeiten in der Positivliste beinhaltet. Allerdings ist bei diesen Aufzählungen zu beachten, dass sie ebenfalls nicht abschließend sind und die aufgezählten Verarbeitungstätigkeiten lediglich Beispiele darstellen, wann definitiv eine Datenschutz-Folgenabschätzung durchzuführen ist. Eine DSFA muss stets z.B. bei der Verarbeitung biometrischer Daten durchgeführt werden, wohingegen sie bei der Verarbeitung eines Namens nicht notwendig ist. 

Bei einigen Listen ist ferner zu berücksichtigen, dass die Listen gem. Art. 35 Abs. 4 S.2 DSGVO an den europäischen Datenschutzausschuss zu übermitteln sind und diese erst nach Abschluss des in Art. 35 Abs. 6 DSGVO genannten Kohärenzverfahrens Verbindlichkeit erhalten. Lesen und beachten Sie hierzu bitte die Hinweise auf der Webseite der jeweiligen zuständigen Datenschutzbehörde.

Wie ist eine Datenschutz-Folgenabschätzung durchzuführen?

Wie genau eine Datenschutz-Folgenabschätzung durchzuführen ist, erläutert Art. 35 Abs. 7 DSGVO. Hier werden Punkte genannt, die eine Datenschutz-Folgenabschätzung mindestens enthalten muss.

1. Eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und Zwecke der Verarbeitung 
2. Die Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den jeweiligen Zweck müssen bewertet werden 
3. Die Risiken für die Rechte und Freiheiten der gem. Art. 37 Abs. 1 DSGVO betroffenen Personen müssen bewertet werden 
4. Abhilfemaßnahmen zur Bewältigung der Risiken, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz von personenbezogenen Daten sichergestellt wird und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird

Weitere Informationen bezüglich der Inhalte der Datenschutz-Folgenabschätzung erhalten Sie von Ihrem Datenschutzbeauftragten. Unterlagen und Dokumente zum Thema Datenschutz-Folgenabschätzung erhalten Sie z.B. im Bereich DSFA auf der Webseite des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA).

Datenschutz-Folgenabschätzung Vorgehensweise

Die Prozessschritte einer DSFA lassen sich im Wesentlichen in drei Phasen gliedern: Es gibt die Vorbereitungs-, Bewertungs-, Maßnahmenphase. Hinsichtlich der genauen Vorgehensweise ist es zunächst wichtig, ein DSFA-Team zu erstellen und den Beurteilungsumfang festzulegen. Daraufhin werden die Betroffenen sowie die Akteure identifiziert (z.B. der Datenschutzbeauftragte und der Betriebsrat) und es kommt zu einer Prüfung der Notwendigkeit bzw. Verhältnismäßigkeit bezogen auf den Zweck der Verarbeitung. Dabei sollten die Rechtsgrundlagen für die Verarbeitung geprüft und dokumentiert werden sowie Risikoquellen identifiziert werden. 

Es folgt eine Risikobewertung unter Berücksichtigung möglicher physischer, materieller oder immaterieller Schäden, deren Schwere und Eintrittswahrscheinlichkeit. Anhand der Definition der Schadensklasse, welche von gering bis sehr hoch ausfallen kann, ergibt sich, welche Schäden aus der Datenverarbeitung für Betroffene resultieren können. Anschließend wird eine Auswahl geeigneter Abhilfemaßnahmen, u.a. auch die technischen und organisatorischen Maßnahmen (TOM), getroffen und verbleibende Restrisiken eruiert. Darauf folgt die Erstellung des DSFA-Berichts und die Umsetzung der Abhilfemaßnahmen, welche damit auf ihre Wirksamkeit getestet werden. Es sollte sowohl eine Dokumentation des DSFA-Berichts als auch der Überprüfung der Wirksamkeit der ergriffenen Maßnahmen stattfinden. Sollten alle diese Schritte vollzogen sein, so kann der Verarbeitungsvorgang freigegeben werden. Die DSFA sollte stets auf dem aktuellsten Stand gehalten werden. 

Wir empfehlen die Durchführung einer DSFA mit einem digitalen Datenschutz-Management-System, welches eine geführte Bearbeitung der Risikobewertung zulässt. Intelligente Datenschutz-Management-Systeme können sogar Empfehlungen aussprechen und eine besonders gute Hilfestellung für die Bewertung der geplanten Verarbeitung darstellen. Hier können Sie sich im Detail weiter informieren zu unserer Datenschutz-Managementsoftware.

Datenschutz-Folgenabschätzung Muster

Die nachfolgende Reihenfolge kann als Muster für die Relevanzfestellung einer DSFA genutzt werden:

• Erforderlichkeitsprüfung: Werden Daten im Zuge des Profilings verarbeitet? Werden besonders schützenswerte personenbezogene Daten genutzt?
• Vorgaben der Aufsichtsbehörde: Ist eine Prüfung der herausgegebenen Blacklists/Whitelists erfolgt? 
• Beschreibung: Wurden alle Verarbeitungsvorgänge systematisch beschrieben? Wurde notiert, welches Interesse mit der Datenerhebung verfolgt wird?
• Datenschutzkonformität: Werden alle Datenschutzgrundsätze eingehalten, wie z.B. Zweckgebundenheit, Datensparsamkeit und Vertraulichkeit?
• Risikobewertung: Besteht bei der Datenverarbeitung ein Risiko für die Rechte und Freiheiten der Betroffenen?
• Maßnahmen zur Risikovermeidung:  Wurden jedem Risiko entsprechende Abhilfemaßnahmen zugeordnet?
• Standpunkte der Betroffenen: Wurden Bedenken bei der Risikobewertung und -vermeidung berücksichtigt? 
• Ökonomie: Wurde die Firmenstruktur an die Ergebnisse der Risikobewertung angepasst? Sind ausreichend finanzielle Mittel für das Datenschutz-Segment angewiesen?

Erhalten Sie innerhalb unseres DSMS direkt eine vollständige Vorlage für die DSFA.

DSFA-Risikoanalyse

Schließlich findet als Vorstufe einer Risikobewertung eine Schutzbedarfsfeststellung der zu verarbeitenden personenbezogenen Daten anhand der Datenarten statt. Diese werden in normalen Schutzbedarf (z.B. öffentliche Register), hohen Schutzbedarf (z.B. Steuerdaten) und sehr hohen Schutzbedarf (beispielsweise Adressen von Zeugen in bestimmten Strafverfahren) gegliedert. 

Am Ende findet schließlich die Risikoanalyse statt. Dabei handelt es sich um ein Verfahren zur Risikobestimmung, welches die gleiche Funktionsweise wie ein Standarddatenschutzmodell aufweist. Gemeint ist damit eine Vorgehensweise, mit welcher die rechtlichen Anforderungen aus der DSGVO in konkrete technische und organisatorische Maßnahmen übersetzt werden können. Im Zuge dessen kommt es zur Auswertung der Checklisten. Anhand der Eintrittswahrscheinlichkeit von Schäden und der jeweiligen Höhe wird das Risiko ermittelt, welches eine Verarbeitung mit sich bringt. Eine Datenschutz-Folgenabschätzung ist grundsätzlich nur bei solchen Verarbeitungen notwendig, welchen ein hohes oder sehr hohes Risiko einer Verletzung von Rechten und Freiheiten innewohnt. 

Was passiert, wenn keine DSFA durchgeführt wird?

Wenn trotz Erforderlichkeit eine Datenschutz-Folgenabschätzung nicht durchgeführt wird, droht einerseits ein Bußgeld nach Maßgabe der Art. 83 ff. DSGVO. So drohen nach Art. 83 Abs. 4 DSGVO bei Verstößen gegen Bestimmungen in Bezug auf die Datenschutz-Folgenabschätzung Geldbußen i.H.v. bis zu 10 Mio. Euro oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erwirtschafteten Jahresumsatzes des vergangenen Geschäftsjahres, je nachdem, welcher der Beträge höher ist.

Eine allgemeine Übersicht bezüglich der in Deutschland erlassenen Bußgelder seit Anwendbarkeit der DSGVO sehen Sie hier.

Andererseits kann es durch die Verarbeitung ohne DSFA – neben Bußgeldern – auch zu physischen, materiellen und immateriellen Schäden kommen, wie zum Beispiel Reputationsverlust oder eine Verletzung des allgemeinen Persönlichkeitsrechts.