ZAP-2019-21
Fach 19, Seite 944 Datenschutz: Kommunalebene Verfassungsrecht/Verwaltungsrecht Das Verzeichnis von Verarbeitungstätigkeiten muss nicht veröffentlicht werden; im Rahmen eines Auskunftsanspruchs kann dieses aber dennoch eingesehen werden. Dieses Recht ergibt sich zwar nicht unmittelbar aus der DSGVO, ist aber schon nach dem Grundsatz des § 242 BGB ableitbar. Dieser findet insoweit auch analog im öffentlichen Recht Anwendung. Fehlt ein Verzeichnis von Verarbeitungstätigkeiten, kann gem. Art. 30 Abs. 4a DSGVO ein Bußgeld verhängt werden. Der betroffene Mandant hat zudem die Möglichkeit sich beim zuständigen Landesdatenschutzbeauftragten zu beschweren. 4. Datenschutz-Folgenabschätzung Nach Art. 35 Abs. 1 DSGVO besteht die Pflicht eine sog. Risikoabschätzung der Folgen vorgesehener Verarbeitungsvorgänge durchzuführen. Wie dies konkret auszusehen hat, hat der Gesetzgeber nicht vorgegeben; aus diesem Grunde herrscht große Unsicherheit darüber, wie dies im Einzelnen gewährleistet werden soll. Fest steht aber, dass zum Inhalt einer Datenschutz-Folgenabschätzung jedenfalls immer nachstehende Schritte gehören: systematische Beschreibung der geplanten Verarbeitungsvorgänge; Beschreibung der Zwecke der Verarbeitung; Bewertung der Notwendigkeit der Verarbeitung; Bewertung der Verhältnismäßigkeit der Verarbeitungsvorgänge insbesondere in Bezug auf den Zweck; Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Person sowie die Festlegung der Abhilfemaßnahmen zur Bewältigung bestehender Risiken. Die Aufsichtsbehörden haben zur Orientierung im Rahmen der Datenschutz-Folgenabschätzung eine Positivliste erstellt, wonach Datenschutz-Folgenabschätzungen bei Trägern großer sozialer Einrichtungen, Inkassodienstleistungen, einer Anonymisierung besonderer Arten personenbezogener Daten nach Art.9 DSGVO oder auch der Kundensupport mittels künstlicher Intelligenz zwingend durchzuführen sind (vgl. Positivlisten zur Datenschutz-Folgenabschätzung; www.bvdnet.de/Aufsichtsbehoerden-veroeffentlich ten-positivlisten-zur-datenschutz-folgenabschaetzung). Hilfreich ist ferner auch das Standard-Datenschutz-Modell des BSI (Grundschutz, ISIS 12). Dieses Modell unterscheidet bei den Risikostufen nach Schutzklassen und der damit verbundenen jeweiligen Schutzwürdigkeit. So gehören zur Stufe eins all diejenigen personenbezogenen Daten, die frei zugänglich sind. Gemeint sind Daten aus Telefonbüchern, Internetseiten, Homepages etc. In der zweiten Stufe sind solche Daten eingestellt, die beschränkt öffentlich zugänglich sind, weil für diese ein berechtigtes Interesse des Einsichtnehmenden erforderlich ist. Beispiel: Melderegister, Grundbuch. In der dritten Stufe befinden sich diejenigen Daten, die die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse der betroffenen Person berühren. Beispiel: Einkommen, Sozialleistungen. In der vierten Gruppe sind solche Daten, die die gesellschaftliche Stellung nicht nur berühren, sondern diese erheblich beeinträchtigen können. Beispiel: Verurteilung, Gesundheitsdaten, Pfändungen. Von der letzten Stufe werden alle übrigen Daten erfasst, wie z.B. diejenigen, die in den Bereich der sensiblen Daten nach Art. 9 DSGVO fallen. Ein typisches Beispiel sind hier biometrische Daten, aber auch die Gesundheitsdaten. Denn hier liegt ein besonderer Eingriff in den Persönlichkeitsbereich des Betroffenen vor. Wie eine solche Datenschutz-Folgenabschätzung inhaltlich konkret abzulaufen hat, ergibt sich unter Berücksichtigung der obigen Ausführungen explizit aus Art. 35 Abs. 7 u. 9 DSGVO. 1146 ZAP Nr. 21 7.11.2019
Verfassungsrecht/Verwaltungsrecht Fach 19, Seite 945 Datenschutz: Kommunalebene Dem Bereich der Kontrolle kommt demzufolge eine steigende Bedeutung zu (vgl. im Übrigen auch Art. 29 – Datenschutzgruppe, Leitlinie zur Datenschutz-Folgenabschätzung WP 248 rev. 01,15). Eine Datenschutz-Folgenabschätzung muss nicht automatisch regelmäßig wiederholt werden. Denn Art. 35 Abs. 11 DSGVO normiert keine obligatorische Überprüfungspflicht. Vielmehr ist die Rede von „erforderlichenfalls“. Dies bedeutet, dass nur bei entsprechenden Anlässen eine erneute Datenschutz- Folgenabschätzung durchgeführt werden muss. Allerdings empfiehlt sich ein regelmäßiger Abgleich des Ist- mit dem Soll-Zustand. Hinweis: Wird die Datenschutz-Folgenabschätzung nicht oder unrichtig durchgeführt, kommt eine Haftung nach Art. 82 Abs. 1 und 2 DSGVO ebenso in Betracht wie Schadenersatzansprüche des Betroffenen. Weiterhin kann auch ein Bußgeld verhängt werden. 5. Auftragsverarbeitung Die Auftragsverarbeitung (früherer Begriff: Auftragsdatenverarbeitung) ist nunmehr in Art. 28 DSGVO geregelt. Der Begriff des Auftragsverarbeiters ist in Art. 4 Nr. 8 DSGVO legal definiert. Danach ist Auftragsverarbeiter eine natürliche oder juristische Person, Behörden, Einrichtungen oder andere Stellen, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten. Beispiel: Cloud-Anbieter, Call-Center, Webseiten-Betreiber, Datenträgerentsorger Um die Einhaltung des Datenschutzes beidseitig sicher zu stellen, hat der Gesetzgeber in Art. 28 Abs. 3 DSGVO vorgeschrieben, dass ein entsprechender Vertrag oder ein anderes Rechtsinstrument geschaffen werden muss. Dabei sind die dort genannten Mindestinhalte zu erfüllen. Dazu gehören: Gegenstand/Dauer des Auftrags; Umfang, Art und Zweck der Datenverarbeitung; welche Art von Daten betroffen ist; die Angabe der Kategorien betroffener Personen; die Gewährleistung der Betroffenenrechte; Rechte und Pflichten des Auftraggebers; der Umfang der Weisungsbefugnisse des Auftraggebers; die Kontrollrechte des Auftraggebers inkl. der Duldungs- und Mitwirkungsrechte des Auftragsverarbeiters; die Pflichten des Auftragnehmers; das Recht des Auftragnehmers zum Einsatz von Subunternehmern; die Regelung wie und in welcher Form Verstöße mitzuteilen sind bis hin zur Regelung, wie Datenträger zurückgegeben werden müssen. Die Einhaltung dieser Mindestinhalte ist von besonderer Bedeutung, da der Gesetzgeber eine „gesamtschuldnerische Haftung“ der Vertragsparteien begründet hat. Das heißt, selbst die ordnungsgemäße Auswahl des Auftragsverarbeiters entbindet den Auftraggeber nicht von der Haftung. Praxistipp: Aufgrund der bestehenden gesamtschuldnerischen Haftung ist im Rahmen der vertraglichen Regelungen immer die „Freizeichnung“ zu prüfen. Dies vor allem für die Bereiche, auf die der Auftraggeber keinen oder einen nur geringen Einfluss hat. Auch wenn er beispielsweise verlangen kann, dass ihm der Auftragsverarbeiter nachweist, dass seine Mitarbeiter entsprechend geschult und sich in den Erklärungen zur Einhaltung des Datenschutzes verpflichtet haben. Der Vertrag ist schriftlich abzufassen; die Vereinbarung per E-Mail ist aber ausreichend (§ 126b BGB). Praxistipp: Beabsichtigt eine Kommune ein Inkassounternehmen zur Beitreibung privatrechtlicher Forderungen einzuschalten, so stellt sich die Frage der Auftragsverarbeitung nicht. Denn das Inkassounternehmen hat hier bei der Umsetzung seiner Aufgaben einen nicht unerheblichen Spielraum und ist regelmäßig weisungsfrei. Insoweit ist hier wie auch bei Rechtsanwälten, Steuerberatern oder Rechnungsprüfern eher von einer neuen Verantwortlichkeit auszugehen. ZAP Nr. 21 7.11.2019 1147
- Seite 7 und 8: ZAP Anwaltsmagazin Mit der Einführ
- Seite 9 und 10: ZAP Anwaltsmagazin Bundestag verlä
- Seite 11 und 12: ZAP Buchreport Buchreport Berichte
- Seite 13 und 14: ZAP Buchreport kommentars Erbrecht,
- Seite 15 und 16: ZAP Buchreport kommentiert, u.a. §
- Seite 17 und 18: ZAP Buchreport Anwaltsrecht/Anwalts
- Seite 19 und 20: ZAP Buchreport sich mit den rechtli
- Seite 21 und 22: Eilnachrichten 2019 Fach 1, Seite 1
- Seite 23 und 24: Eilnachrichten 2019 Fach 1, Seite 1
- Seite 25 und 26: Eilnachrichten 2019 Fach 1, Seite 1
- Seite 27 und 28: Eilnachrichten 2019 Fach 1, Seite 1
- Seite 29 und 30: Straßenverkehrsrecht Fach 9 R, Sei
- Seite 31 und 32: Straßenverkehrsrecht Fach 9 R, Sei
- Seite 33 und 34: Straßenverkehrsrecht Fach 9 R, Sei
- Seite 35 und 36: Straßenverkehrsrecht Fach 9 R, Sei
- Seite 37 und 38: Straßenverkehrsrecht Fach 9 R, Sei
- Seite 39 und 40: Straßenverkehrsrecht Fach 9 R, Sei
- Seite 41 und 42: Straßenverkehrsrecht Fach 9 R, Sei
- Seite 43 und 44: Handelsrecht/Gesellschaftsrecht Fac
- Seite 45 und 46: Handelsrecht/Gesellschaftsrecht Fac
- Seite 47 und 48: Handelsrecht/Gesellschaftsrecht Fac
- Seite 49 und 50: Handelsrecht/Gesellschaftsrecht Fac
- Seite 51 und 52: Verfassungsrecht/Verwaltungsrecht F
- Seite 53 und 54: Verfassungsrecht/Verwaltungsrecht F
- Seite 55 und 56: Verfassungsrecht/Verwaltungsrecht F
- Seite 57: Verfassungsrecht/Verwaltungsrecht F
- Seite 61 und 62: Verfassungsrecht/Verwaltungsrecht F
- Seite 63 und 64: Verfassungsrecht/Verwaltungsrecht F
- Seite 65 und 66: Verfassungsrecht/Verwaltungsrecht F
Verfassungsrecht/Verwaltungsrecht Fach 19, Seite 945<br />
Datenschutz: Kommunalebene<br />
Dem Bereich der Kontrolle kommt demzufolge eine steigende Bedeutung zu (vgl. im Übrigen auch<br />
Art. 29 – Datenschutzgruppe, Leitlinie zur Datenschutz-Folgenabschätzung WP 248 rev. 01,15).<br />
Eine Datenschutz-Folgenabschätzung muss nicht automatisch regelmäßig wiederholt werden. Denn<br />
Art. 35 Abs. 11 DSGVO normiert keine obligatorische Überprüfungspflicht. Vielmehr ist die Rede von<br />
„erforderlichenfalls“. Dies bedeutet, dass nur bei entsprechenden Anlässen eine erneute Datenschutz-<br />
Folgenabschätzung durchgeführt werden muss. Allerdings empfiehlt sich ein regelmäßiger Abgleich des<br />
Ist- mit dem Soll-Zustand.<br />
Hinweis:<br />
Wird die Datenschutz-Folgenabschätzung nicht oder unrichtig durchgeführt, kommt eine Haftung nach<br />
Art. 82 Abs. 1 und 2 DSGVO ebenso in Betracht wie Schadenersatzansprüche des Betroffenen. Weiterhin<br />
kann auch ein Bußgeld verhängt werden.<br />
5. Auftragsverarbeitung<br />
Die Auftragsverarbeitung (früherer Begriff: Auftragsdatenverarbeitung) ist nunmehr in Art. 28 DSGVO<br />
geregelt. Der Begriff des Auftragsverarbeiters ist in Art. 4 Nr. 8 DSGVO legal definiert. Danach ist Auftragsverarbeiter<br />
eine natürliche oder juristische Person, Behörden, Einrichtungen oder andere Stellen,<br />
die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten. Beispiel: Cloud-Anbieter,<br />
Call-Center, Webseiten-Betreiber, Datenträgerentsorger<br />
Um die Einhaltung des Datenschutzes beidseitig sicher zu stellen, hat der Gesetzgeber in Art. 28 Abs. 3<br />
DSGVO vorgeschrieben, dass ein entsprechender Vertrag oder ein anderes Rechtsinstrument geschaffen<br />
werden muss. Dabei sind die dort genannten Mindestinhalte zu erfüllen. Dazu gehören: Gegenstand/Dauer<br />
des Auftrags; Umfang, Art und Zweck der Datenverarbeitung; welche Art von Daten<br />
betroffen ist; die Angabe der Kategorien betroffener Personen; die Gewährleistung der Betroffenenrechte;<br />
Rechte und Pflichten des Auftraggebers; der Umfang der Weisungsbefugnisse des Auftraggebers;<br />
die Kontrollrechte des Auftraggebers inkl. der Duldungs- und Mitwirkungsrechte des Auftragsverarbeiters;<br />
die Pflichten des Auftragnehmers; das Recht des Auftragnehmers zum Einsatz von<br />
Subunternehmern; die Regelung wie und in welcher Form Verstöße mitzuteilen sind bis hin zur Regelung,<br />
wie Datenträger zurückgegeben werden müssen.<br />
Die Einhaltung dieser Mindestinhalte ist von besonderer Bedeutung, da der Gesetzgeber eine „gesamtschuldnerische<br />
Haftung“ der Vertragsparteien begründet hat. Das heißt, selbst die ordnungsgemäße<br />
Auswahl des Auftragsverarbeiters entbindet den Auftraggeber nicht von der Haftung.<br />
Praxistipp:<br />
Aufgrund der bestehenden gesamtschuldnerischen Haftung ist im Rahmen der vertraglichen Regelungen<br />
immer die „Freizeichnung“ zu prüfen. Dies vor allem für die Bereiche, auf die der Auftraggeber keinen oder<br />
einen nur geringen Einfluss hat. Auch wenn er beispielsweise verlangen kann, dass ihm der Auftragsverarbeiter<br />
nachweist, dass seine Mitarbeiter entsprechend geschult und sich in den Erklärungen zur<br />
Einhaltung des Datenschutzes verpflichtet haben.<br />
Der Vertrag ist schriftlich abzufassen; die Vereinbarung per E-Mail ist aber ausreichend (§ 126b BGB).<br />
Praxistipp:<br />
Beabsichtigt eine Kommune ein Inkassounternehmen zur Beitreibung privatrechtlicher Forderungen einzuschalten,<br />
so stellt sich die Frage der Auftragsverarbeitung nicht. Denn das Inkassounternehmen hat hier<br />
bei der Umsetzung seiner Aufgaben einen nicht unerheblichen Spielraum und ist regelmäßig weisungsfrei.<br />
Insoweit ist hier wie auch bei Rechtsanwälten, Steuerberatern oder Rechnungsprüfern eher von einer<br />
neuen Verantwortlichkeit auszugehen.<br />
<strong>ZAP</strong> Nr. <strong>21</strong> 7.11.<strong>2019</strong> 1147