litres-logo
Lekka lektura
Poważna lektura
Historia
Książki biznesowe
Wiedza i umiejętności
Psychologia, motywacja
Sport, zdrowie, uroda
Hobby, rozrywka
Dom, dacza
Książki dla dzieci
Dla rodziców
Publicystyka i czasopisma
Ekskluzywne
Szkice
Darmowe książki
Wszystkie 142 gatunki

Czytaj książkę: «DSGVO - BDSG - TTDSG», strona 19

Czcionka:

k) Die Offenlegung personenbezogener Daten (11. Alt.)

83

Die Offenlegung bezeichnet ganz grundlegend den Vorgang, anderen personenbezogene Daten zugänglich zu machen, sodass diese die Möglichkeit haben, die Daten zur Kenntnis zu nehmen.189

84

Eine Offenlegung liegt allerdings nur dann vor, wenn der Adressat, dem personenbezogene Daten zugänglich gemacht werden, ein Empfänger i.S.d. Art. 4 Nr. 9 DSGVO ist (siehe zum Begriff des Empfängers unten Rn. 262ff.). Die Empfängereigenschaft ist insoweit dann aber auch ausreichend. Nicht erforderlich ist es – im Gegensatz zur Übermittlung nach § 3 Abs. 4 Nr. 3 BDSG a.F. –, dass der Adressat Dritter i.S.d. Art. 4 Nr. 10 DSGVO ist.190 Dies ergibt sich aus der systematischen Auslegung von Art. 4 Nr. 2 DSGVO, insbesondere im Zusammenspiel mit der Definition des Empfängers in Art. 4 Nr. 9 DSGVO (siehe ausführlich unten Rn. 269).

85

Nach Art. 4 Nr. 9 DSGVO ist ein Empfänger eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Die prägenden Merkmale des Empfängers bestehen also darin, dass ihm gegenüber Daten offengelegt werden und es sich bei ihm nicht um einen Dritten i.S.d. Art. 4 Nr. 10 DSGVO handeln muss. Es wäre daher systematisch sinnwidrig, wenn eine Offenlegung, z.B. in Form der Übermittlung, auch gegenüber „Nicht-Empfängern“ erfolgen könnte191 oder gegenüber einem Dritten i.S.d. Art. 4 Nr. 10 DSGVO erfolgen müsste.

86

Nach hier vertretener Ansicht (siehe ausführlich unten Rn. 270ff.) sind Mitarbeiter des Verantwortlichen und andere ihm zurechenbare Personen und Stellen grundsätzlich keine Empfänger, weshalb der Verantwortliche ihnen auch nicht Daten i.S.d. Art. 4 Nr. 2 DSGVO offenlegt, wenn er ihnen Daten mitteilt.192 Mitteilungen eines Betriebes an seinen Betriebsrat stellen nach Auffassung des BAG allerdings eine Offenlegung (durch Übermittlung) dar, weil es sich beim Betriebsrat nach Ansicht des BAG insoweit um einen Empfänger i.S.d. Art. 4 Nr. 9 DSGVO handelt.193

87

Als weitere Voraussetzung einer Offenlegung verlangt Art. 4 Nr. 2 DSGVO, dass diese durch eine Übermittlung, eine Verbreitung oder eine andere Form der Bereitstellung erfolgt.194

aa) Übermittlung

88

Eine Übermittlung liegt vor, wenn personenbezogene Daten gezielt einem oder mehreren individuell bestimmten Adressaten mitgeteilt werden.195

89

Die Art und Weise der Übermittlung spielt insoweit keine Rolle, sodass die Übermittlung z.B. schriftlich, elektronisch, mündlich oder auch durch Übergabe eines Datenträgers erfolgen kann.196

90

Werden Daten, z.B. im Internet, zum Abruf oder zur Einsicht bereitgehalten, liegt noch keine Übermittlung vor, da es zu diesem Zeitpunkt (noch) an einer Mitteilung gegenüber einem individuell bestimmten Adressaten fehlt. Dies ist erst dann der Fall, wenn ein Nutzer diese Daten abruft oder einsieht (siehe auch unten Rn. 93).197 In diesem Zusammenhang ist davon auszugehen, dass die Grundsätze des Lindqvist-Urteils des EuGH unter der DSGVO fortgelten, auch wenn diese Entscheidung zur DSRl ergangen ist.198 Demnach liegt keine Übermittlung personenbezogener Daten in ein Drittland vor, wenn ein Verantwortlicher in der EU bzw. dem EWR personenbezogene Daten auf eine Webseite einstellt, die bei ihm oder einem Host-Provider in der EU/dem EWR gehostet wird und diese Webseite – und damit auch die auf ihr eingestellten personenbezogenen Daten – weltweit abgerufen werden können, also auch aus Drittstaaten außerhalb der EU/des EWR.199 Wie soeben erläutert, liegt zu diesem Zeitpunkt aber ohnehin noch keine Übermittlung vor. Allerdings müssen diese Grundsätze auch auf den Fall übertragen werden, dass ein Nutzer die Daten von der Webseite abruft bzw. diese einsieht – also eigentlich eine Übermittlung vorliegt –, da andernfalls die Erwägungen des EuGH praktisch gegenstandslos wären. Diese Grundsätze gelten aber nur für Übermittlungen in ein Drittland, also auf der sogenannten zweiten Stufe.

91

Große Bedeutung in der Praxis besitzt auch die Frage, inwieweit (rechtfertigungsbedürftige) Übermittlungen im Rahmen von Unternehmenstransaktionen vorliegen.200 Erfolgt die Transaktion im Rahmen eines Share Deals, findet keine Übermittlung statt, sofern die personenbezogenen Daten, die sich „im Besitz“ des von der Übernahme betroffenen Unternehmens befinden, nicht einer anderen Stelle (wie dem Erwerber) zugänglich gemacht werden – in diesem Fall ändern sich lediglich die „Eigentumsverhältnisse“ an dem Unternehmen.201 Gehen personenbezogene Daten im Rahmen eines Asset Deals an den Erwerber über, liegt hingegen eine Übermittlung vor.202 Datenweitergaben bei Umwandlungen von Unternehmen nach dem UmwG, wie z.B. einer Verschmelzung, einer Auf- bzw. Abspaltung oder einer Ausgliederung, stellen i.d.R. keine Übermittlungen dar, weil die Verfügungsbefugnis der hiervon betroffenen Daten im Rahmen der Gesamtrechtsnachfolge automatisch auf den neuen Rechtsträger übergeht.203 Diese Ausführungen gelten entsprechend auch für die Offenlegung ganz allgemein, da (auch) diese stets die Zugänglichmachung der Daten gegenüber anderen Stellen erfordert (siehe oben Rn. 83).204

bb) Verbreitung

92

Eine Verbreitung liegt – in Abgrenzung zur Übermittlung – vor, wenn personenbezogene Daten ungezielt einem unbestimmten Adressatenkreis mitgeteilt werden, der Adressat also gerade nicht individuell bestimmt ist, z.B. im Fall der Übertragung der Daten im TV, im Rundfunk oder durch Zeitungen/Zeitschriften.205

cc) Andere Form der Bereitstellung

93

Eine andere Form der Bereitstellung liegt vor, wenn Daten auf andere Art und Weise einer anderen Stelle zugänglich gemacht werden als durch eine Übermittlung oder eine Verbreitung, sodass diese Form der Offenlegung einen Auffangcharakter besitzt.206 So handelt es sich nach hier vertretener Ansicht z.B. um eine andere Form der Bereitstellung, wenn personenbezogene Daten, z.B. im Internet, zur Einsicht oder zum Abruf bereitgehalten werden, da zu diesem Zeitpunkt noch keine Mitteilung an einen individuell bestimmten Adressaten oder einen unbestimmten Adressatenkreis erfolgt (ist). Mithin liegt weder eine Übermittlung noch eine Verbreitung vor. Da die Daten aber anderen Stellen zugänglich sind, liegt eine andere Form der Bereitstellung vor. Erst wenn ein Nutzer Einsicht in diese Daten nimmt bzw. diese abruft, findet eine Übermittlung statt.207

94

Zu beachten ist, dass eine andere Form der Bereitstellung – ebenso wie die Übermittlung und die Verbreitung – erfordert, dass der Vorgang durch eine Aktivität der verarbeitenden Stelle erfolgt, sodass keine andere Form der Bereitstellung vorliegt, wenn ein Angreifer unbefugt in die Systeme der Stelle eindringt und Zugang zu dort gespeicherten Daten erlangt.208

l) Der Abgleich personenbezogener Daten (12. Alt.)

95

Unter Abgleich wird der Vergleich personenbezogener Daten einschließlich der Prüfung verstanden, ob diese Daten in zwei verschiedenen Systemen vorhanden und/oder inwieweit die verglichenen Daten identisch bzw. konsistent sind respektive welche Unterschiede sie aufweisen.209

m) Die Verknüpfung personenbezogener Daten (13. Alt.)

96

Als Verknüpfung wird die Zusammenführung von personenbezogenen Daten bezeichnet.210 Dies kann z.B. erfolgen, indem ein Datensatz zu einem anderen Datensatz hinzugespeichert wird. So kann z.B. das Nutzungsprofil einer betroffenen Person, das über einen Cookie A erstellt wurde, mit einem Nutzungsprofil dieser Person, das über einen Cookie B erstellt wurde, im Rahmen des sogenannten Cookie Matching zusammengeführt, also verknüpft werden, um gegenüber dieser Person (noch) passgenauere Werbung ausspielen zu können, die noch besser auf ihre Vorlieben hin abgestimmt ist, als dies mit nur einem Nutzungsprofil möglich wäre.211 Ausreichend ist es aber auch, wenn in einen Datensatz ein Verweis auf einen anderen Datensatz mit aufgenommen wird.212

n) Die Einschränkung der Verarbeitung (14. Alt.)

97

Die Einschränkung der Verarbeitung wird in Art. 4 Nr. 3 DSGVO gesondert definiert. Demnach bedeutet die Einschränkung der Verarbeitung die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken. Insoweit kann für die Einzelheiten dieses Begriffs auf die Kommentierung zu Art. 4 Nr. 3 DSGVO verwiesen werden (siehe unten Rn. 106ff.).

o) Das Löschen personenbezogener Daten (15. Alt.)

98

Das Löschen personenbezogener Daten bedeutet (ganz allgemein) das Unkenntlichmachen dieser Daten.213 Durch das Löschen muss es unmöglich gemacht werden, dass die in den zu löschenden Daten enthaltenen personenbezogenen Informationen (weiterhin) mit verhältnismäßigem Aufwand zur Kenntnis genommen oder sonst wie in irgendeiner sinnvollen Art und Weise verarbeitet werden können.214

99

Die Löschung beschreibt somit das Ziel des Vorgangs. Auf welche Art und Weise dieses Ziel erreicht wird, gibt Art. 4 Nr. 2 DSGVO nicht vor. So kann eine Löschung z.B. durch die Vernichtung des Datenträgers, das Überschreiben der Daten, die nichtreversible Entfernung der Daten vom Datenträger, aber nach hier vertretener Ansicht auch durch die Anonymisierung der Daten erfolgen.215

100

Unklar ist allerdings, ob die Daten nichtreversibel anonymisiert werden müssen, damit sie als gelöscht qualifiziert werden können, oder ob dafür auch eine faktische Anonymisierung reicht, bei der die Re-Identifizierung also nur praktisch nicht durchführbar ist, z.B. weil sie einen unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskräften erfordern würde216 (siehe ausführlich zur Anonymisierung von Daten oben Rn. 47ff.). Welcher Auffassung der Europäische Datenschutzausschuss zuneigt, lässt sich nach hier vertretener Lesart aus seinen (bisherigen) Ausführungen nicht sicher entnehmen.217

101

Nach hier vertretener Auffassung ist das Erfordernis einer nichtreversiblen Anonymisierung zu strikt. Vielmehr reicht insoweit eine faktische Anonymisierung aus. So vermag auch bereits eine solche faktische Anonymisierung den Personenbezug von Daten zu beseitigen, woraufhin die DSGVO auf die Verarbeitung solcher Daten keine Anwendung mehr findet (siehe hierzu ausführlich oben Rn. 47ff.). Vor dem Hintergrund des Schutzwecks der DSGVO ist kein sachlicher Grund erkennbar, dass Daten in diesem Fall dann nicht auch als gelöscht anzusehen sein sollen.218

102

Mithin erfolgt die Löschung im vorliegenden Zusammenhang also durch die faktische Anonymisierung der Daten. Deshalb „entfällt“ die Löschung nach hier vertretener Ansicht auch nicht nachträglich, sollten anonymisierte Daten zu einem späteren Zeitpunkt infolge der dann verfügbaren Mittel wieder de-anonymisiert werden können.219 Voraussetzung dafür ist aber, dass die personenbezogenen Daten (zuvor) erfolgreich in dem soeben dargestellten Sinne (faktisch) anonymisiert wurden. Bei der Beurteilung, ob Daten als faktisch anonym anzusehen sind, kann es vor dem Hintergrund von Erwägungsgrund 26 Sätze 3 und 4 nach hiesigem Verständnis erforderlich sein, auch die technologischen Entwicklungen mit zu berücksichtigen.220

103

Sobald der jeweilige Verantwortliche die betroffene Person allerdings wieder identifizieren kann – ggf. anhand ihm zurechenbaren Wissens/zurechenbarer Mittel –, die betroffene Person also wieder identifizierbar ist (siehe hierzu oben Rn. 30ff.), sind diese vormals anonymisierten Daten (zumindest für den Verantwortlichen) wieder als personenbezogen i.S.d. Art. 4 Nr. 1 DSGVO zu qualifizieren, woraufhin er bei deren Verarbeitung – sofern auch die weiteren Anwendbarkeitsvoraussetzungen vorliegen – die Anforderungen der DSGVO beachten muss.221

104

Die Definition des Löschens personenbezogener Daten hat insbesondere für Art. 17 DSGVO große Bedeutung, in dem das Recht der betroffenen Person auf Löschung ihrer Daten geregelt ist. Siehe zu den Einzelheiten, insbesondere den Anforderungen an das Löschen, die Kommentierung zu Art. 17 (siehe Art. 17 Rn. 72). Soweit die Löschung zu Zwecken der Erfüllung der Löschpflicht gem. Art. 17 DSGVO erfolgt, kann diese nach hier vertretener Ansicht i.d.R. auf Art. 6 Abs. 1 lit. c i.V.m. Art. 17 DSGVO gestützt werden.222

p) Die Vernichtung personenbezogener Daten (16. Alt.)

105

Die Vernichtung personenbezogener Daten ist eine (Unter-)Form des Löschens und bezeichnet die physische Zerstörung des Datenträgers.223 Soweit teilweise vertreten wird, dass die Vernichtung neben dem Löschen stünde und das Löschen daher die Vernichtung nicht umfasse, sondern der Datenträger bei der Löschung physisch erhalten und funktionsfähig bleiben müsse,224 vermag dies nicht zu überzeugen. So würde dies nach hier vertretener Ansicht die Möglichkeiten des Verantwortlichen zur Löschung personenbezogener Daten gem. Art. 17 DSGVO unzulässig beschränken, der vom Verantwortlichen die Löschung und eben nicht (alternativ) die Vernichtung personenbezogener Daten verlangt. Mithin müsste der Verantwortliche nach dieser Ansicht bei jeder Löschung von Daten nach Art. 17 DSGVO den Datenträger erhalten. Dies entspricht aber nicht dem Sinn und Zweck des Art. 17 DSGVO (siehe hierzu Art. 17 Rn. 19).

IV. Einschränkung der Verarbeitung (Nr. 3)
1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang

106

Die „Einschränkung der Verarbeitung“ bedeutet gem. Art. 4 Nr. 3 DSGVO die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken. Der Begriff ist mit dem bisher in der EG-DSRl und im BDSG a.F. verwendeten Begriff des „Sperrens“ vergleichbar.225 Eine Definition dieses Begriffs enthielt die EG-DSRl – anders als das BDSG a.F. – jedoch nicht. Nach § 3 Abs. 4 Nr. 4 BDSG a.F. sollte „Sperren“ das Kennzeichnen gespeicherter personenbezogener Daten bedeuten, um ihre weitere Verarbeitung oder Nutzung einzuschränken.

107

Eine eigenständige Definition des Begriffs „Einschränkung der Verarbeitung“ ist in der DSGVO erst seit der Fassung des Rates der Europäischen Union226 enthalten. Das Konzept der Einschränkung der Verarbeitung war aber – ohne eine entsprechende Begriffsdefinition – auch bereits im Vorschlag der Europäischen Kommission enthalten.227

108

In der DSGVO wird der Begriff der „Einschränkung der Verarbeitung“ vor allem in Art. 18 DSGVO verwendet. So handelt es sich bei diesem Begriff zugleich um ein Betroffenenrecht, welches die betroffene Person gegenüber dem Verantwortlichen geltend machen kann. Die Voraussetzungen, Rechtsfolgen und Ausnahmen dieses Rechts sind in Art. 18 DSGVO geregelt, der durch ErwG 67 konkretisiert wird. Im Zusammenhang mit diesem Recht bestehende Mitteilungspflichten sind in Art. 19 DSGVO geregelt, welcher den Begriff der „Einschränkung der Verarbeitung“ ebenfalls verwendet. Art. 4 Nr. 2 DSGVO stellt klar, dass die Einschränkung der Verarbeitung auch eine Verarbeitung i.S.d. Art. 4 Nr. 2 DSGVO darstellt (siehe oben Rn. 97). Des Weiteren verlangen Art. 13 Abs. 2 lit. b bzw. Art. 14 Abs. 2 lit. c DSGVO sowie – im Rahmen eines Auskunftsersuchens – Art. 15 Abs. 1 lit. e DSGVO unter den dort genannten Voraussetzungen, dass die betroffene Person über das Bestehen des Rechts auf Einschränkung der Verarbeitung i.S.d. Art. 18 DSGVO informiert werden muss. Zudem gibt Art. 58 Abs. 2 lit. g DSGVO den Aufsichtsbehörden die Befugnis, die Einschränkung der Verarbeitung anzuordnen.228 Auch im BDSG wird der Begriff an verschiedenen Stellen verwendet, so insbesondere in § 35 BDSG, der Ausnahmen vom Recht auf Löschung gem. Art. 17 DSGVO regelt und anstelle der Löschung der Daten deren eingeschränkte Verarbeitung verlangt.

2. Begriff der Einschränkung der Verarbeitung
a) Inhalt

109

Die Bedeutung des Begriffs „Einschränkung der Verarbeitung“ gem. Art. 4 Nr. 3 DSGVO erschließt sich nur im Zusammenspiel mit Art. 18 DSGVO. So enthält die Definition des Begriffs „Einschränkung der Datenverarbeitung“ eine Tautologie, indem die Markierung der Daten gerade zu dem Ziel der „Einschränkung der Datenverarbeitung“ erfolgen muss, ohne diesen Begriff jedoch inhaltlich weiter zu definieren. Auch wenn eine solche Tautologie in der englischsprachigen Fassung der DSGVO nicht enthalten ist,229 geht auch aus der dort verwendeten Definition der Inhalt der Einschränkung der Datenverarbeitung nicht hervor.

110

Dieser ergibt sich vielmehr aus Art. 18 DSGVO (siehe hierzu ausführlich Art. 18 Rn. 9ff.). So besteht das Recht der betroffenen Person auf Einschränkung der Verarbeitung der sie betreffenden Daten gem. Art. 18 DSGVO z.B. für die Dauer der entsprechenden Prüfung, wenn die betroffene Person die Richtigkeit der Daten bestreitet oder wenn die Daten für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind, die betroffene Person sie jedoch noch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt (siehe zu den inhaltlichen Voraussetzungen des Rechts auf eingeschränkte Verarbeitung Art. 18 Rn. 10–23).

111

Die Einschränkung der Verarbeitung tritt damit oftmals an die Stelle der Löschung. So überwiegen in diesen Fällen die Gründe für eine weitere Speicherung und „eingeschränkte“ Verarbeitung der Daten die durch eine Löschung der Daten geschützten Interessen der betroffenen Personen.230

b) Rechtsfolgen

112

Sind Daten eingeschränkt i.S.d. Art. 18 DSGVO zu verarbeiten, dürfen sie gem. Art. 18 Abs. 2 DSGVO nur noch gespeichert und zu den in Art. 18 Abs. 2 DSGVO genannten engen Zwecken verarbeitet werden, wie z.B. zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (siehe zum Umfang der nach Art. 18 Abs. 2 DSGVO erlaubten Verarbeitung ausführlich Art. 18 Rn. 28–34). Alle darüber hinausgehenden Datenverarbeitungen bedürfen der Einwilligung der betroffenen Person.

c) Mittel zur Umsetzung der Einschränkung der Verarbeitung

113

Die DSGVO gibt keine verpflichtenden Vorgaben, mit welchen technischen und organisatorischen Mitteln der Verantwortliche die eingeschränkte Verarbeitung der Daten zu realisieren hat, sondern überlässt die Wahl der Mittel dem Verantwortlichen. Allerdings führt der Verordnungsgeber in ErwG 67 verschiedene Beispiele hierfür auf. So können z.B. Daten, die nur noch eingeschränkt verarbeitet werden dürfen, für diese Dauer von den übrigen Daten separiert und in einem anderen Verarbeitungssystem gespeichert, für Nutzer gesperrt oder – soweit sie auf einer Webseite eingestellt wurden – von dieser vorübergehend entfernt werden. Auch wenn die Wahl der Mittel grundsätzlich dem Verantwortlichen übertragen wird, verlangt ErwG 67 für den Fall, dass Daten automatisiert, also rechnergestützt, verarbeitet werden, dass die Einschränkung grundsätzlich (auch) durch technische Mittel erfolgt, und zwar so, dass die personenbezogenen Daten in keiner Weise weiterverarbeitet werden und nicht verändert werden können. Außerdem sollte nach ErwG 67 in dem automatisierten Datenverarbeitungssystem unmissverständlich darauf hingewiesen werden, dass die Verarbeitung der personenbezogenen Daten eingeschränkt wurde (siehe zu den Anforderungen an die Umsetzung des Rechts auf Einschränkung der Verarbeitung ausführlich Art. 18 Rn. 27).

DSGVO - BDSG - TTDSG
Tekst
0
Zostaw recenzję
1209,24 zł
Gatunki i tagi
Adwokatura
Ograniczenie wiekowe:
0+
Objętość:
4734 str. 7 ilustracje
ISBN:
9783800594207
Redaktor:
Wydawca:
Właściciel praw:
Bookwire
Format pobierania:
epub, fb2, fb3, ios.epub, mobi, pdf, txt, zip
Część serii "Kommunikation & Recht"
Wszystkie książki z serii

Z tą książką czytają

Круть
Ekskluzywny

Круть

Wiktor Pielewin
Audiobook z wersją tekstową
3,6
105