ZAP-2019-21

Weitere Magazine

Empfehlungen

Info

Fach 19, Seite 942 Datenschutz: Kommunalebene Verfassungsrecht/Verwaltungsrecht b) Vertragserfüllung Eine gesetzliche Einwilligung wird auch dann angenommen, wenn die Erhebung und Verarbeitung personenbezogener Daten im Rahmen einer Vertragserfüllung erfolgt. Umfasst sind dabei sämtliche Vertragsstadien, also beginnend mit der Vertragsanbahnung über die Durchführung des Vertrags bis hin zur Abwicklung. Erhoben dürfen dabei allerdings nur diejenigen Daten, die auch zur Umsetzung des Vertrags tatsächlich erforderlich sind. Dies ergibt sich bereits aus den Grundsätzen der Datenminimierung und der Datensparsamkeit. Nicht zur Umsetzung des Vertrags gehören sog. Zufriedenheitsabfragen; hier bedarf es einer separaten Einwilligung (BGH NJW 2018, 3506). c) Rechtliche Verpflichtung Artikel 6 Abs. 1c DSGVO rechtfertigt die Datenerhebung, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Gemeint sind hierbei u.a. steuerliche Auskunftspflichten, solche im Rahmen strafrechtlicher Ermittlungen oder auch die Offenbarung von Sozialdaten. d) Öffentliches Interesse Artikel 6 Abs. 1e DSGVO erlaubt die Verarbeitung im Rahmen der Wahrnehmung von Aufgaben, die im öffentlichen Interesse liegen oder in Ausübung öffentlicher Gewalt erfolgen. Dabei knüpft die DSGVO nicht an die Stelle, sondern gemäß dem funktionalen Ansatz an die erfüllende Aufgabe an. Es geht also insbesondere um den Bereich der Daseinsvorsorge. Werden Leistungen durch kommunale Unternehmen auf freiwilliger Basis erbracht, dann ist zu prüfen, ob es hier letztlich nicht doch um übergeordnete, gesellschaftliche Ziele geht, so dass Art. 6 Abs. 1e DSGVO Anwendung findet. e) Berechtigtes Interesse Der Auffangtatbestand des Art. 6 Abs. 1f DSGVO sieht eine Verarbeitung auch dann als rechtmäßig an, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Hier spielt der Erwägungsgrund 47 der DSGVO eine überragende Rolle, wonach ein solches berechtigtes Interesse insbesondere dann vorliegt, wenn eine maßgebliche und angemessene Beziehung zwischen den betroffenen Personen und dem Verantwortlichen besteht und vernünftige Erwartungen der betroffenen Personen gegeben sind. Das OLG München (GRUR-RR 2019, 137) hat klargestellt, dass nicht nur rechtliche, sondern auch wirtschaftliche oder ideelle Interessen zu berücksichtigen sind. Insgesamt sei der Begriff des „berechtigten Interesses“ weit auszulegen. Praxistipp: Trotz der Möglichkeiten des Art. 6 Abs. 1f DSGVO sollte bei der Anwendung des „berechtigten Interesses“ Vorsicht geboten sein. Denn im Falle einer gerichtlichen Verneinung wäre die Erhebung und Verarbeitung der personenbezogenen Daten unrechtmäßig. Deshalb sollte zuvorderst auch über die Möglichkeit nachgedacht werden, eine Einwilligung parallel einzuholen (Art. 6 Abs. 1a DSGVO). 2. Informationspflichten Nach Art. 13/14 DSGVO hat auch die Behörde eine Informationspflicht dahingehend zu erfüllen, dass dem Bürger transparent dargestellt wird, welche personenbezogenen Daten zu welchem Zweck von ihm erhobenen und verarbeitet werden. Soweit sich nicht bereits aus sondergesetzlichen Regelungen diese entsprechenden Informationspflichten zwingend ergeben, so muss der Bürger auch im Übrigen immer darüber informiert werden, welchem Zweck die Verarbeitung unterliegt; wer Zugriff auf die 1144 ZAP Nr. 21 7.11.2019
Verfassungsrecht/Verwaltungsrecht Fach 19, Seite 943 Datenschutz: Kommunalebene personenbezogenen Daten hat bzw. wie lange diese gespeichert werden und ob eine Übertragung an Dritte erfolgt. Gleichermaßen ist darauf hinzuweisen, dass Betroffenenrechte wie Auskunft, Berichtigung etc. bestehen. Die Informationspflicht ist immer zu Beginn zu erfüllen und nicht erst dann, wenn ein Bürger danach explizit fragt. Dies bedeutet z.B. dann, wenn Merkblätter ausgelegt werden, dass diese auch rechtzeitig den Betroffenen erreichen müssen. Allgemeine Hinweise, die sich ausschließlich auf der Homepage der Behörde befinden, sind nicht ausreichend. Im Bereich von Steuern und Abgaben, die für den Bürger zum Teil eher schwierig durchschaubar sind, gibt es dennoch keine gesteigerten Informationspflichten. Hinweis: In einem Verwaltungsverfahren reicht es aus, die betroffene Person zu Beginn des selbigen zu informieren, so z.B. bei der Stellung eines entsprechenden Antrags. Wiederholen sich Vorgänge, so muss nicht jedes Mal erneut der Informationspflicht nachgekommen werden, sondern ein Verweis auf frühere Informationen ist dabei ausreichend. Praxistipp: Steht die Verletzung von Informationspflichten oder eine Verletzung der Meldepflicht nach einer Datenpanne gem. Art. 33 Abs. 1 DSGVO im Raum, dann kommen auch Schadensansprüche nach Art. 82 DSGVO in Betracht. Das Recht auf Schadensersatz gegen den Verantwortlichen oder gegen den möglichen Auftragsverarbeiter ist neu und erweitert damit die Haftung desjenigen, der personenbezogene Daten erhebt und verarbeitet. Die Haftungsproblematik bezieht sich aber ausschließlich auf das privatrechtliche Handeln einer Behörde. Denn im Übrigen, also bei der Erfüllung öffentlicher Aufgaben, gelten die allgemeinen Grundsätze zur Amtshaftung (Art. 34 GG i.V.m. § 839 BGB). 3. Verzeichnis von Verarbeitungstätigkeiten Was die Behörde schon in der Vergangenheit als „Verfahrensverzeichnis“ kennt und umgesetzt hat, so hat der Gesetzgeber dies nunmehr mit dem „Verzeichnis von Verarbeitungstätigkeiten“ nochmals verschärft und die Pflichten diesbezüglich etwas erhöht. Ein verbindliches Muster für die Erstellung derartiger Verzeichnisse besteht allerdings nicht. Das Verzeichnis ist vom Verantwortlichen zu erstellen, nicht indes vom Datenschutzbeauftragten. Dieser hat lediglich beratend tätig zu sein und die Mitverantwortung dafür zu tragen, dass die datenschutzrechtlichen Anforderungen durch den Verantwortlichen (Geschäftsführung) auch erfüllt werden. Das Verzeichnis ist schriftlich zu erstellen und muss angemessen aktualisiert werden; eine jährliche Überarbeitungspflicht besteht allerdings grds. nicht, es sei denn, es ergeben sich diesbezüglich konkrete Anhaltspunkte. Praxistipp: Die Umsetzung der Verzeichnisse kann durch interne Arbeitsanweisungen sichergestellt werden, insbesondere dahingehend, dass dem Verantwortlichen neue Verarbeitungsvorgänge und die daraus resultierende Änderungen des bisherigen Verzeichnisses gemeldet werden. Die Dokumentation und Nachweisführung bezüglich derartiger mündlicher oder schriftlicher Anweisungen spielen dann auch in einem möglichen Verfahren eine Rolle, in dem einem Mitarbeiter eine datenschutzrechtliche Pflichtverletzung vorgehalten wird. Dies sowohl im Falle einer Abmahnung also auch einer Kündigung. ZAP Nr. 21 7.11.2019 1145
Seite 1 und 2:
ZAP Zeitschrift für die Anwaltspra
Seite 3 und 4:
ZAP Kolumne Kolumne Das LG Köln un
Seite 5 und 6: ZAP Anwaltsmagazin EU sieht Defizit
Seite 7 und 8: ZAP Anwaltsmagazin Mit der Einführ
Seite 9 und 10: ZAP Anwaltsmagazin Bundestag verlä
Seite 11 und 12: ZAP Buchreport Buchreport Berichte
Seite 13 und 14: ZAP Buchreport kommentars Erbrecht,
Seite 15 und 16: ZAP Buchreport kommentiert, u.a. §
Seite 17 und 18: ZAP Buchreport Anwaltsrecht/Anwalts
Seite 19 und 20: ZAP Buchreport sich mit den rechtli
Seite 21 und 22: Eilnachrichten 2019 Fach 1, Seite 1
Seite 29 und 30: Straßenverkehrsrecht Fach 9 R, Sei
Seite 43 und 44: Handelsrecht/Gesellschaftsrecht Fac
Seite 51 und 52: Verfassungsrecht/Verwaltungsrecht F
Seite 55: Verfassungsrecht/Verwaltungsrecht F
Alle anzeigen

ZAP-2019-21

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?