Nachdem es in „EU DSGVO (1): Europäische Datenschutzgrundverordnung kurz erläutert“ vorrangig um ihr Inkrafttreten, die Geltung des Marktortprinzips, personenbezogene Daten sowie Zweckbestimmung und Verwendung geht, geht dieser Beitrag weiter ins Detail: Einwilligung und Gültigkeit der EU DSGVO – national wie international – bringen Sonderfälle mit sich. Besondere Aufmerksamkeiten verdienen dabei personenbezogene Daten und welche Maßnahmen für Unternehmen nun notwendig werden.
EU DSGVO: Einwilligung
Die Verarbeitung von personenbezogenen Daten ist in erster Linie verboten und ist nur unter dem Vorbehalt der Einwilligung für eine definierte Zweckbestimmung erlaubt. Der Erlaubnisvorbehalt ist mit einer vorliegenden Einwilligung obsolet. Weitere Erlaubnistatbestände finden sich in Artikel 6 Absatz 1 EU DSGVO.
Einwilligung eines Kindes nach der EU DSGVO
Für Dienste und Services (nach Auftragsverarbeitung in Artikel 6), die einem Kind bis zum vollendeten sechzehnten Lebensjahr direkt gemacht werden, ist die Einwilligung der Eltern erforderlich. Diese Zustimmung hat der Anbieter (als Verantwortlicher) rechtssicher einzuholen und zu dokumentieren.
Siehe dazu Artikel 8 „Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft“ (Kapitel II: Grundsätze).
So ist die Einwilligung eines Kindes rechtmäßig im Sinne Artikel 8 EU DSGVO, wenn es das 16. Lebensjahr vollendet hat. Durch die Spezifizierungsklausel kann der Mitgliedsstaat das Alter auf 13 Jahre durch nationales Recht absenken.
Nationale Gültigkeit der neuen Datenschutzvorschrift
Durch nationale Vorschriften können, zur Gewährleistung des Schutzes der nationalen Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten, sogenannte Kollektivvereinbarungen nach Artikel 88 zum Beispiel im deutschen Betriebsverfassungsgesetz (BetrVG) festgelegt werden.
Verarbeitung besonderer Kategorien personenbezogener Daten
Die EU Kommission führt in Artikel 9 EU DSGVO eine Definition der Kategorien bei der Bewertung personenbezogener Daten ein: „Die Verarbeitung personenbezogener Daten, aus denen die folgenden persönlichen Orientierungen hervorgehen, sowie die Verarbeitung zur eindeutigen Identifizierung einer natürlichen Person, einer natürlichen Person ist untersagt.“
Zu diesen Daten zur persönlichen Orientierung zählen nach der EU DSGVO folgende Informationen:
- rassische und ethnische Herkunft
- politische Meinungen
- religiöse oder weltanschauliche Überzeugungen
- Gewerkschaftszugehörigkeit
- genetische Daten
- biometrische Daten
- Gesundheitsdaten
- Daten zum Sexualleben oder zur sexuellen Orientierung.
Damit definiert Artikel 9 EU DSGVO, „Verarbeitung besonderer Kategorien personenbezogener Daten“, die besonderen Kategorien und unterscheidet diese Daten von anderen Kategorien personenbezogener Daten und untersagt deren Verarbeitung.
Die Ausnahme für die Verarbeitung ist die ausdrückliche Einwilligung, sowie die erforderliche Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke nach Artikel 89 Absatz 1.
Auftragsverarbeitung nach der EU DSGVO
Manche Begriffe haben auch ein Update bekommen: Auftragsdatenverarbeitung heißt heute Auftragsverarbeitung. Dieses ist in Kapitel IV in Artikel 24 bis Artikel 43 „Verantwortlicher und Auftragsverarbeiter“ definiert und nimmt den Verarbeiter auch in die Haftung für Verstöße gegen die Verordnung. Die Auftragsdatenverarbeitung aus dem BDSG in der Änderung von September 2009 hat wesentlichen Eingang in die EU DSGVO in Kapitel IV und V gefunden.
Die Auftragsverarbeitung nimmt einen großen Teil der Verordnung ein. In Kapitel IV „Für die Datenverarbeitung Verantwortliche und Auftragsverarbeiter“ sowie in Kapitel V „Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen“ werden die Spezifika der Auftragsverarbeitung konkretisiert.
In der EU DSGVO wird nicht unterschieden zwischen der Online- und der Offline-Verarbeitung.
Welche Maßnahmen Unternehmen hinsichtlich der EU DSGVO ergreifen sollten
Jetzt sind zusätzlich Abwägungen zu treffen, die insbesondere die Interessen der Betroffenen und das schützenswerte Gut der persönlichen Daten betreffen. Unternehmen haben damit künftig mehr Argumentationsspielraum, müssen aber auch die daraus resultierende Rechtsunsicherheit in Kauf nehmen.
Auch dienen hier die TOMs (Technische und organisatorische Maßnahmen) in Artikel 28 einer solchen grenzüberschreitenden Übermittlung als Risikoabwägung zur Rechtsgrundlage, zum Beispiel bei der Meldung von Verletzungen des Schutzes personenbezogener Daten nach Artikel 33.
Dokumentieren Sie Ihre Abwägungen und Maßnahmen!
Insbesondere Dokumentationen zur Abwägung, beziehungsweise zur Datenschutz-Folgenabschätzung nach Artikel 35, sind nach Interpretation der Erwägungsgründe, wesentlicher Bestandteil der Verordnung. Alle Folgenabschätzungen, die Maßnahmen zur Datensicherheit, Dokumente zu den Kundeninformationen, Informationen zu den gespeicherten Daten, zu Opt-in/Opt-out-Funktion sowie die Zustimmung beziehungsweise erteilten Einwilligungen sind zu dokumentieren.
Mit welcher Motivation wurde aus der europäischen Richtlinie von 2009 die EU DSGVO von 2016, eine rechtsverbindliche Verordnung? Dazu im nächsten Beitrag: EU DSGVO (3) – Woher sie kommt und wohin sie geht.
(Coverbild: © Christian Kettling)