Zweckspezifizierung

Art. 4 Abs. 1 S. 9, Art. 5 Abs. 1 lit. b, c, e, Art. 5 Abs. 2, Art. 6 Abs. 1 lit. a, Art. 25 Abs. 1, Art. 12 Abs. 1, Art. 13 Abs. 1 lit. c, Art. 30 Abs. 1 lit. b, Art. 32 DSGVO

Kurz & bündig: Die Zwecke der Datenverarbeitung werden richtig spezifiziert

Relevant DSGVO norms

• Korrekte Spezifizierung des Verarbeitungszwecks

  Im Datenschutzrecht wird der Umfang rechtlich zulässiger Datenverarbeitungen maßgeblich vom Verarbeitungszweck geprägt. Anhand des konkreten Zwecks lässt sich z.B. ermitteln:
  
  1. welche personenbezogenen Daten überhaupt erhoben werden müssen (Für den Abschluss eines Stromliefervertrags ist die Adresse und Bankverbindung des Anschlussnehmers erforderlich, nicht aber der Familienstand)
  
  2. in welcher Auflösung Daten vorliegen müssen (Für die bloße Abrechnung des Stromverbrauchs genügt der Jahresenergieverbrauch der Endkunden; umfasst die Dienstleistung die Einbindung in dynamische zeitvariable Stromtarife können viel granularere Verbrauchsdaten erforderlich sein)
  
  3. wie lange die Daten gespeichert werden müssen (Für die Steuerung der Gebäude-Klimatisierung auf der Grundlage von CO2-Schwellen können Daten unmittelbar nach der Erhebung gelöscht werden; für die Optimierung des Systems sind ggf. längere Speicherfristen erforderlich).
  
  Gleichzeitig ist der Zweck maßgeblicher Anhaltspunkt für die betroffenen Personen um zu verstehen, was mit "ihren" Informationen geschieht und was für Risiken hieraus erwachsen. Wird der Zweck zu weit gefasst (z.B. "Energieeinsparung") lässt sich kaum begrenzen, in welchem Umfang die Verarbeitung personenbezogener Daten hierfür erforderlich und daher zulässig ist. Maßstab für eine richtige Spezifizierung des Zwecks ist daher, dass die betroffenen Personen die Risiken erkennen können müssen, die durch eine Datenverarbeitung für ihre verschiedenen Schutzgüter verursacht wird. Dazu wird hier folgendes Vorgehen empfohlen:

  Relevant DSGVO norms

  

  
  
  • Der Verantwortliche hat die Zwecke der Datenverarbeitung korrekt spezifiziert

    Der für die Verarbeitung Verantwortliche stellt sicher, dass alle Zwecke, für die er personenbezogene Daten verarbeitet, in Bezug Hinblick auf die spezifischen Verarbeitungsvorgänge:
    - ausdrücklich sind: d.h. der Zweck muss hinreichend eindeutig und klar formuliert sein;
    - rechtmäßig sind: d.h. der Zweck muss auch mit anderen Rechtsbereichen sowie mit den berechtigten Erwartungen der betroffenen Personen vereinbar sein, und
    - spezifiziert sind: d. h. der Zweck muss hinreichend definiert sein, um die Durchführung aller erforderlichen Datenschutzgarantien zu ermöglichen und den Anwendungsbereich der Verarbeitung abzugrenzen.
    
    Der Verantwortliche hat den Verarbeitungszweck korrekt spezifiziert, wenn der Verarbeitungszweck die konkreten Risiken erkennen lässt, die durch die Datenverarbeitung für die Grundrechte betroffener Personen verursacht werden.
    Verantwortliche müssen ihre Verarbeitungszwecke hiernach aus der Sicht der Betroffenen spezifizieren, also unter Berücksichtigung ihrer potenziell von der Datenverarbeitung betroffenen Grundrechte.

    Relevant DSGVO norms

    

    
    
    • 1. Definition des konkreten Verarbeitungsgegenstands: Was soll unmittelbar durch die Erhebung und Verarbeitung der Daten erreicht werden?

      Dafür ist zunächst der Gegenstand der Verarbeitungstätigkeit festzulegen, also das Ziel, das durch die Datenverarbeitung unmittelbar erreicht werden soll. Diese Formulierung muss bereits hinreichend konkret sein. Nicht konkret genug sind übergeordnete Ziele, wie "Energieeinsparung", "Effizienzsteigerung" oder "Gewinnerzielung". Die Zweckbeschreibung muss den Zweck so eng fassen, dass die Grenzen der Verarbeitungstätigkeit mit den für den Prozess der Verarbeitung notwendigen und erforderlichen Daten im dafür angemessenen Umfang technisch und datenschutzrechtlich bestimmbar sind (vgl. DSK, SDM-Baustein 50). Beispiele für hinreichend eng gefasste Zwecke sind etwa "Automatisierte Klimatisierung eines EFH / MFH / Verwaltungsgebäudes", "Betrieb und Wartung eines intelligentes Messsystems iSv. § 2 Nr. 7 MsbG", "Abrechnung der Strombelieferung gem. § 50 Abs. 2 Nr. 3 MsbG" etc.

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • 2. Perspektivenwechsel zum Betroffen: Welche Grundrechte werden durch diese Ziele oder die dafür erforderlichen Datenverarbeitungen konkret bedroht oder beeinträchtigt?

      In einem nächsten Schritt ist im Rahmen einer vorgreifenden Risikoprüfung zu evaluieren, wie sich die geplante Datenverarbeitungen auf die Grundrechte betroffener Personen (insbesondere die Gebäudenutzenden) auswirken könnten. Neben dem konkreten Gegenstand der Verarbeitung (statistische Analyse vs. Personalisierung) sind die verursachten Risiken insbesondere davon abhängig, in welcher Granularität Daten erhoben werden (zimmerscharf und sekündlich vs. gebäudescharf und monatlich) und in welchem Kontext sie verarbeitet werden (Einfamilienhaus vs. Verwaltungsgebäude). Eine genaue Beschreibung verschiedener Risiken im Gebäude- und Quartierskontext findet sich hier unter "Personenbezug der Daten".
      
      Datenverarbeitungen im Gebäudebereich können sich beispielsweise wie folgt auf die Grundrechte betroffener Personen auswirken: Offenlegung privater Informationen einzelner Hausbewohner (Privatleben), Verhaltensbeeinflussung von Personen (Autonomie), Überwachung am Arbeitsplatz (Arbeitsausübungfreiheit). Je kleiner die potenzielle Bezugsgruppe, also die Gruppe von Personen, über welche die Daten Informationen offenlegen könnten, desto eher besteht die Möglichkeit, dass (auch ungewollt) Personenprofile über Personen dieser Bezugsgruppe entstehen (siehe bereits "Personenbezug der Daten").

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • 3. Überprüfung: Werden die Risiken für die Betroffenen durch die Formulierung des Zwecks erkennbar?

      Schließlich ist zu überprüfen, ob sich die festgestellten Risiken durch die Formulierung des Zwecks für die betroffenen Personen auch erkennbar sind.
      
      Beispiele:
      - Ergeben sich besondere Risiken für das Privatleben aufgrund detaillierter Personenprofile, muss sich dies in der Zweckformulierung wiederspiegeln, z.B. "personalisiertes Ausspielen von Raumklimaeinstellungen".
      - Sollen Personen durch Beeinflussung in ihrer Autonomie beeinträchtigt werden, muss sich dies in der Zweckformulierung wiederspiegeln, z.B. "Anregung energiesparsamen Verhaltens".
      - Ergeben sich Risiken lediglich auf einer technisch bedingten hohen Auflösung der Daten, muss sich dies in der Zweckformulierung wiederspiegeln, z.B. "zimmerspezifische Erhebung von Messdaten zur Betriebsoptimierung der Gebäudeleittechnik".
      - Ergeben sich besondere Risiken aufgrund eines bestimmten Kontexts oder Datenempfängers, muss sich dieser in der Zweckformulierung wiederspiegeln, z.B. "Veröffentlichung von Gebäudebestandsdaten zur kommunalen Wärmeplanung".

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
  Relevant DSGVO norms

  

  
  
  • Der Verantwortliche hat die Zwecke vor Erhebung der Datenerhebung spezifiziert

    Im Zeitpunkt der Datenerhebung müssen die konkreten Verarbeitungszwecke bereits spezifiziert worden sein. Wenn einzelne Parameter des konkreten Verarbeitungszwecks dem Verantwortlichen noch nicht bekannt sind, kann auch eine spätere Präzisierung des Zwecks zulässig sein, ohne dass hierfür eine neue Rechtsgrundlage und eine neue Datenerhebung erforderlich ist. Dieser Fall der Zweckpräzisierung wird im Rahmen der Zweckbindung dargelegt (siehe Zweckbindung).

    Relevant DSGVO norms

    

    
    
  Relevant DSGVO norms

  

  
  

Relevant DSGVO norms

Personenbezug der Daten

Art. 4 Abs. 1 DSGVO

Kurz & bündig: Der Verantwortliche legt fest, welche personenbezogenen Daten für die spezifizierte Zwecke verarbeitet werden.

Relevant DSGVO norms

• Spezifikation der Datenkategorien

  Zunächst spezifiziert der Verantwortliche, welche Datenkategorien er überhaupt für einen bestimmten Zweck verarbeiten möchte (unabhängig davon, ob diese personenbezogenen sind oder nicht). Dabei muss er die Datenkategorien hinreichend genau beschreiben und, insoweit möglich, bereits die erforderliche zeitliche und räumliche Auflösung festlegen. Beispiele für Datenkategorien, die im Kontext dieses Kriterienkatalogs verarbeitet werden:
  
  - Raumklimadaten: z.B. CO2, Temperatur, Feuchte, VOC (flüchtige organische Verbindungen), Luftdruck, Position von Fenster oder Tür (zu/offen)
  
  - Gebäudedaten: z.B. Geometrische Gebäudedaten (z.B. Höhe, Grundriss), Raumnutzungsdaten (z.B. Büro, Wohnung, Kita), Zensusdaten (z.B. Gebäudebaujahr, Bewohnerzahl, Eigentumsverhältnisse)
  
  - Verbrauchsdaten: z.B. Strom- und Wärmeverbrauchsdaten (z.B. von Energieversorger und Schornsteinfeger)
  
  Anmerkung: Besondere Datenkategorien gemäß Art. 9 DSGVO (z.B. biometrische Daten oder Gesundheitsdaten etc.) sind somit nicht vom Anwendungsbereich dieses Kriterienkatalogs umfasst.

  Relevant DSGVO norms

  

  
  

Relevant DSGVO norms

• Inhaltselement: Personenbezug aufgrund des Inhalts der Daten

  Die Prüfung, ob in einem Verarbeitungsvorgang "personenbezogene Daten" verarbeitet werden, ist in zweierlei Hinsicht zentral für die Einhaltung des Datenschutzrechts durch den Verantwortlichen:
  
  1. Einerseits ist der Personenbezug Anknüpfungspunkt für den Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO) (Art. 2 Abs. 1 DSGVO) und entscheidet damit darüber, ob und für welche Datenverarbeitungen der Verantwortliche die Datenschutzgrundsätze (z.B. Transparenz, Zweckbindung, Speicherbegrenzung) überhaupt beachten muss.
  2. Andererseits beinhaltet die Prüfung des Anwendungsbereichs der DSGVO eine vorgreifende Risikoprüfung, die dem Verantwortlichen einen ersten Eindruck darüber vermittelt, welche Risiken er durch die Verarbeitung von Daten für betroffene Personen verursacht und welche (technischen und organisatorischen) Maßnahmen er treffen kann, um diese Risiken zu minimieren oder ganz zu beseitigen. Diese Art des Risikomanagements ist zentraler Inhalt der Datenschutzverpflichtungen des Verantwortlichen (vgl. Art. 24 Abs. 1 DSGVO).
  
  Daten sind gem. Art. 4 Abs. 1 DSGVO personenbezogen, wenn sie sich auf eine identifizierte oder identifizierbare Person beziehen. Dabei kann insbesondere die Frage, wann eine Person "identifizierbar" ist, in der Rechtsanwendug kaum pauschal beantwortet werden, da das Merkmal einerseits sehr unbestimmt ist und andererseits erheblich vom konkreten Fall abhängt. So wird sich zeigen, dass auch rein technische Daten oder statistisch aggregierte Daten personenbezogen sein können.
  
  Daten können sich im konkreten Fall auf eine Person beziehen, weil sie Informationen über diese Person enthalten (Inhaltselement), weil sie mit dem Zweck verarbeitet werden diese Person zu evaluieren oder zu beeinflussen (Zweckelement) oder weil sich die Datenverarbeitung aus sonstigen Gründen negativ auf diese Person auswirkt (Ergebniselement) (vgl. die Stellungnahme 4/2007 der Art. 29 Datenschutz-Gruppe zum Begriff „personenbezogene Daten“). Ob eine Person identifiziert oder identifizierbar ist, hängt dabei ebenfalls von den konkreten Umständen ab. Mal kann es ausreichen, dass eine namentlich unbekannte Person nur durch eine (pseudonyme) Kennung aus einer Gruppen Menschen herausgegriffen werden kann (z.B. über eine IP-Adresse). Mal ist für die "Identifiziertheit" erforderlich, dass tatsächlich bekannt ist, wer diese Person namentlich ist (z.B. über Telefonbücher, Klingelschilder, das Grundbuch oder Raumbelegungspläne).
  
  Maßgeblich für diese Fragen sind letztlich die Grundrechte der betroffenen Person (z.B. das Privatleben, die Autonomie, das Eigentum), bzw. die Frage ob eine Verarbeitung bestimmter Daten in einem bestimmten Kontext für eines dieser Grundrechte konkrete Risiken verursacht, denn diese Grundrechte werden gem. Art. 1 Abs. 2 DSGVO letztlich durch die Datenschutzgrundsätze geschützt. Welche Risiken für welches Grundrecht durch eine Datenverarbeitung verursacht werden, lässt sich anhand des Inhaltselements, Zweckelements und Ergebniselements feststellen. In diesem ersten Absatz wird überprüft, ob die verarbeiteten Daten schon aufgrund ihres Inhalts (und unabhängig vom konkreten Verarbeitungszweck) Personebezug aufweisen. Das ist der Fall, wenn der Informationsgehalt der Daten dem abgeschirmten, privaten Lebensbereich einer Person gem. Art. 7 GRCh zuzuordnen ist, unabhängig davon wie und wofür die Daten verarbeitet werden (Inhaltselement).

  Relevant DSGVO norms

  

  
  
  • Der Verantwortliche spezifiziert, welche Daten bereits aufgrund ihres Inhalts personenbezogen sind

    Daten sind schon aufgrund ihres Inhalts personebezogen, wenn ihr Informationsgehalt dem abgeschirmten, privaten Lebensbereich einer Person zuzuordnen ist, unabhängig davon für welchen Zweck die Daten verarbeitet werden (Inhaltselement).

    Relevant DSGVO norms

    

    
    
    • Alt. 1 Erhebung auf Gebäudeebene

      1. Wohngebäude EFH
      
      a) Energieverbrauch:
      Der Energieverbrauch eines EFH ist schon für sich genommen eine Information, die dem Privatleben der Bewohnerinnen zuzurechnen ist. So können bereits aus dem jährlichen oder monatlichen Energieverbrauch Rückschlüsse auf einen besonders sparsamen oder verschwenderischen Lebensstil gezogen werden. Eine Offenlegung dieser Information würde betroffene Personen in ihrer Privat- und Sozialsphäre verletzen. Stündlich, minütlich oder sekündlich aufgelöste Messdaten können auch bei Datenerhebung auf Gebäudeebene sogar Informationen aus dem besonders geschützten Kernbereich des Privatlebens enthalten, insofern sich hieraus Informationen über das konkrete Verhalten der Personen innerhalb ihres geschützten Wohnraums ableiten lassen (z.B. Schlafens- und Essenszeiten, Fernsehprogramm, Welche Geräte werden genutzt?). Werden hingegen die Energieverbrauchsdaten mehrerer (=k) EFH zu einem Gesamtverbrauch aggregiert, ist das Privatleben ab einer Schwelle von EFH nicht mehr beeinträchtigt, ab der die Datengrundlage für einzelne Bewohner*innen so uneindeutig wird, dass diese daraus abgeleitete Informationen erfolgreich abstreiten können ("nicht ich verbrauche so viel Energie, sondern meine Nachbarn").
      
      b) Gebäudebestandsdaten:
      Gebäudedaten eines EFH könnten bereits aufgrund ihres Inhalts Relevanz für das Privatleben haben, z.B. wenn sich daraus Rückschlüsse über das Vermögen oder den Lebensstandart der Bewohnerinnen ergeben. Solche Rückschlüsse ergeben sich jedoch nicht unmittelbar aus den Daten selbst, sondern erst wenn die betroffene Person (z.B. der Gebäudeeigentümer) identifiziert wird und die Daten zu diesen Zweck ausgewertet werden - der Gebäude Eigentümer wird in diesem Fall anhand der Daten "bewertet oder beurteilt" (siehe Zweckelement). Nur aufgrund des Inhalts der Daten ergibt sich mithin (noch) kein Personenbezug. Gleichwohl kann dieser Informationsgehalt der Daten den Verantwortlichen daran hindern, die Daten unbegrenzt zu veröffentlichen, da er dann keinerlei Kontrolle mehr darüber ausüben kann, für welche Zwecke andere Personen diese Daten verwenden (oder missbrauchen) könnten.
      
      2. Wohngebäude MFH
      
      a) Energieverbrauch:
      Beim Gesamtenergieverbrauch eines MFH Lassen sich in der Regel keine Informationen über einzelne Hausbewohner ableiten. Wie in dem Fall, dass die Verbrauchsdaten mehrerer EFH zusammengefasst (aggregiert) werden, beinhalten diese Verbrauchsdaten mithin keine privaten Informationen, insoweit die Datengrundlage für einzelne Bewohner*innen so uneindeutig ist, dass diese daraus abgeleitete Informationen erfolgreich abstreiten können ("nicht ich verbrauche so viel Energie, sondern meine Nachbarn").
      
      3. Nicht-Wohngebäude
      Der Gesamtgebäude-Energieverbrauch von Nicht-Wohngebäuden beeinträchtigt weder das Privatleben der Insassen, noch der Eigentümer*innen.

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • Alt. 2 Erhebung auf Wohnungs-, Stockwerks-, Raum- und Geräteebene

      1. Wohngebäude EFH/MFH
      
      a) Energieverbrauch:
      Werden Energieverbrauchsdaten auf der Ebene einzelner Wohneinheiten, Räume oder Geräte in einem EFH oder MFH verarbeitet, gilt das Gleiche wie bei der Datenerhebung in einem EFH (Alt. 1), sodass die Daten bereits schon aufgrund ihres Inhalts Personenbezug aufweisen.
      
      b) Raumklimadaten:
      Werden Raumklimadaten auf der Ebene einzelner Wohneinheiten oder Räume innerhalb eines MFH oder eines EFH verarbeitet, kann Personenbezug vorliegen, insweit die Daten in hoher zeitlicher Auflösung erhoben werden. Personenbezug liegt hier schon aufgrund des Inhalts der Daten vor, insoweit sich aus den Daten unmittelbar Rückschlüsse auf das Verhalten der Personen innerhalb des geschützten (Wohn-) Raums ergeben (z.B. lässt sich anhand hoch aufgelöster CO2 Zeitreihendaten aufgrund vorübergehender Spitzen im CO2 Gehalt der Raumluft nachvollziehen, wann eine Person den Raum betreten und verlassen hat).
      
      2. Nicht-Wohngebäude:
      Werden Energieverbrauchsdaten oder Raumklimadaten auf einem Stockwerk, auf Raum- oder Geräteebene in einem Nicht-Wohngebäude erhoben, könnte dies Rückschlüsse auf das Verhalten der Rauminsassen zulassen und dadurch ihr Privatleben beeinträchtigen. Da es sich bei Nicht-Wohngebäuden (wie z.B. einem öffentlichen Verwaltungsgebäude) aber oft um semi-öffentliche Sphären handelt, können betroffene Personen nicht ohne weiteres davon ausgehen, sich in einem geschützten (privaten) Raum zu bewegen. Datenverarbeitungen beeinträchtigen demnach nicht das Privatleben von Gebäudenutzenden, wenn die Verarbeitungen für die Nutzenden im konkreten Kontext objektiv erwartbar sind. Die Erhebung von CO2 Daten in einem Bürogebäude beinhaltet mithin keine Verarbeitung personenbezogener Daten, wenn die Daten nur für den Zweck der Gebäudeklimatisierung verarbeitet werden (Gebäudenutzende können dies prinzipiell voraussehen). Das ist aber nicht der Fall, wenn die Daten dazu verwendet werden sollen, die Anwesenheit von Arbeitnehmenden zu überwachen. In einem solchen Fall werden aufgrund des konkreten Verarbeitungszwecks aus rein technischen Daten personenbezogene Daten "über" die Gebäudenutzenden. In einem solchen Fall ist zudem das "Zweckelement" einschlägig, da die betroffenen Personen anhand der Daten evaluiert werden.

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
  Relevant DSGVO norms

  

  
  

Relevant DSGVO norms

• Zweckelement: Personenbezug aufgrund des Verarbeitungszwecks

  Daten beziehen sich aufgrund des spezifischen Verarbeitungszwecks auf eine Person:
  
  1. weil die Daten unabhängig von ihrem Informtionsgehalt für den Zweck verarbeitet werden, diese Person zu evaluieren, zu bewerten oder zu beeinflussen und damit die Autonomie dieser Person beeinträchtigen
  
  2. oder weil der Zweck der Datenverarbeitung unmittelbar die Herbeiführung eines Risikos für (ein beliebiges) anderes Freiheitsrecht (z.B. Arbeitausübung, Meinungsfreihiet, Eigentumsfreiheit) beinhaltet.

  Relevant DSGVO norms

  

  
  
  • Der Verantwortliche spezifiziert, welche Daten aufgrund des konkreten Verarbeitungszwecks personenbezogen sind

    Hinweise zum Vorliegen des Zweckelements:

    Relevant DSGVO norms

    

    
    
    • 1. Bewertung und Beeinflussung einer betroffenen Person

      Die Datenverarbeitung erfüllt das Zweckelement, wenn die Daten im konkreten Kontext dazu verwendet werden eine Person (oder eine Gruppe von Personen) zu bewerten, zu beurteilen oder zu beeinflussen (vgl. Art. 29 DS-Gruppe, Stellungnahme personenbezogene Daten, WP 136). Der Personenbezug ergibt sich hier unabhängig vom Inhalt der Daten nur aufgrund des konkreten Verarbeitungszwecks, da jede datenbasierte Bewertung oder Beeinflussung betroffener Personen diese in ihrer Autonomie und ihrem Schutz personenbezogener Daten (Art. 8 GRCh) beeinträchtigt. Der Schutz personenbezogener Daten beinhaltet dabei das Recht über die bewertende oder beurteilende Datenverarbeitung aufgeklärt zu werden und gewährt der Person Interventionsrechte (siehe unten: Betroffenenrechte). Nur wenn die betroffene Person weiß, dass sie bewertet oder beeinflusst wird und auf der Grundlage welcher Daten, kann sie sich gegen eine (zum Beispiel auf fehlerhaften Daten beruhenden) Datenverarbeitung wehren. Würde ihr diese Information vorenthalten, droht sie zum bloßen Objekt der Bewertung oder Beeinflussung zu werden und verliert die Möglichkeit informierter, autonomer Entscheidungsfindung. Anders als beim Inhaltselement ist es für das Zweckelement nicht erforderlich, dass ein Individuum aus einem Datensatz "herausgegriffen" werden kann (sogenanntes "singling out"). Personen können auch als unbekannter Teil einer Gruppe beeinflusst oder die Gruppe als Ganze bewertet werden.
      
      Beispiele für Datenverarbeitungen, die unter das Zweckelement fallen:
      - Gebäudenutzende werden auf der Grundlage ihres Heizverhaltens, Geschlechts oder Alters einem typisierten Geschmacksprofil zugeordnet.
      - Gebäudenutzende werden mithilfe eines Gamification Tools spielerisch zu energiesparsamem Verhalten angeregt (beeinflusst).
      - Arbeitnehmende werden anhand von Raumklimadaten am Arbeitsplatz überwacht.

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • 2. Zweckbedingte Risiken für andere Freiheiten

      Neben der Bewertung und Beeinflussung von Personen kann der konkrete Verarbeitungszweck den Personenbezug auch dadurch herstellen, dass bewusst Risiken für weitere Freiheiten (Grundrechte) Betroffener durch den Verantwortlichen in Kauf genommen werden. Das kann etwa der Fall sein, wenn Daten veröffentlicht und dadurch einer potenziell unbegrenzten Anzahl Personen zugänglich gemacht werden. Aufgrund dieser unkontrollierbaren Verarbeitungsumgebung besteht ein konkretes Risiko, dass selbst Informationen, die (noch) nicht die Schwelle zum Privatlebensschutz aus Art. 7 GRCh überschreiten dazu missbraucht werden, private Informationen abzuleiten oder offen zu legen.
      
      Beispiel:
      Werden Gebäudbestandsdaten von einer Behörde ausschließlich für den Zweck der Wärmeplanung genutzt, handelt es sich nicht um personenbezogene Daten, wenn mithilfe technisch-organisatorischer Schutzmaßnahmen sichergestellt werden kann, dass keine vom Privatleben geschützte Informationen offen gelegt werden (z.B. das individuelle Vermögen einer Person). Werden diese Daten hingegen veröffentlicht, kann dies nicht mehr sichergestellt werden, weshalb die Daten als personenbezogene Daten zu behandeln sind.
      
      Anmerkung: aufgrund der spezifischen Grundrechts-Risiken, die durch derartige Verarbeitungszwecke gegenüber betroffenen Personen verursacht werden, sind die hier im Rahmen des Zweckelements beschriebenen Verarbeitungszwecke nicht vom Anwendungsbereich dieses Kriterienkatalog umfasst (siehe für eine datenschutzkonforme Datenverarbeitung in diesem Fällen zukünftig den zweiten Kriterienkatalog "Profilbildung und Personalisierung" - dieser befindet sich aktuell noch in Entwicklung).

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
  Relevant DSGVO norms

  

  
  

Relevant DSGVO norms

• Ergebnislement: Personenbezug aufgrund der Auswirkungen der Datenverarbeitung

  In diesem Kriterium wird überprüft, ob die Datenverarbeitung negative Auswirkungen auf ein Grundrecht hat, obwohl dies nicht vom Verantwortlichen bezweckt war und obwohl die Daten selbst keine geschützten privaten Informationen enthalten (Ergebnis-Element). Die Verantwortliche identifiziert solche Risiken für die weiteren Grundrechte betroffener Personen anhand der folgenden Schritte (angelehnt an das DSK Kurzpapier Nr. 18, Risiko für die Rechte und Freiheiten natürlicher Personen):

  Relevant DSGVO norms

  

  
  
  • Der Verantwortliche spezifiziert, welche Daten aufgrund der Auswirkungen der Datenverarbeitung personenbezogen sind
    Relevant DSGVO norms

    

    
    
    • 1. Möglicher Schaden

      Welche Nachteile können für die natürlichen Personen auf der Grundlage der zu verarbeitenden Daten verursacht werden und die Ausübung welcher Grundrechte wird hierdurch beeinträchtigt?
      
      Beispiele für Nachteile und Grundrechtsbeeinträchtigungen:
      a) Anhand von Raumklimadaten wird die An- und Abwesenheit von Arbeitnehmenden überwacht und Fehlverhalten sanktioniert - Art. 15 GRCh Berufsausübungsfreiheit
      b) Auf der Grundlage fehlerhafter Gebäudebestandsdaten wird die Kreditwürdigkeit eines Gebäudeeigentümers als zu gering eingestuft - ggf. Art. 16 GRCh Unternehmerische Freiheit und Art. 17 Eigentumsrecht
      c) Auf der Grundlage fehlerhafter Daten zum Lüftungsverhalten werden Mietende für Schimmelbefall in dem Mietobjekt oder andere Mängel verantwortlich gemacht - ggf. Art. 7 GRCh Privat- und Familienleben
      d) Auf der Grundlage nicht hinreichend aggregierter Energieverbrauchsdaten, aus denen hervorgeht, zu welcher Zeit die Bewohnerinnen eines Einfamilienhauses abwesend sind, wird ein Einbruch verübt - Art. 17 Eigentumsrecht und ggf. Art. 3 GRCh Recht auf Unversehrtheit
      e) Offenlegung privater Informationen durch die versehentliche Veröffentlichung nicht hinreichend aggregierter Energieverbrauchsdaten - Art. 7 GRCh

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • 2. Schadensursache

      Wodurch, d. h. durch welche Ereignisse kann es zu dem Schaden kommen?
      
      Beispiele für Schadensursachen:
      a) Datenmissbrauch durch den Arbeitgeber
      b) IT-Sicherheitsvorfälle (z.B. Hacker-Angriff)
      c) Zugriff auf öffentlich verfügbare Datenbanken
      

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • 3. Risikoquellen

      Durch welche Handlungen und Umstände kann es zum Eintritt dieser Ereignisse kommen?
      
      Beispiele für Risikoquellen
      a) Veröffentlichung der Daten oder Teilen der Daten an einen nicht vertrauenswürdigen Dritten
      b) Vorsätzliches oder fahrlässiges Fehlverhalten von Mitarbeiter*innen
      c) Falsch konfiguriertes Zugangs- und Berechtigungsmanagement

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • 4. Die Wahrscheinlichkeit eines Schadenseintritts (abstrakte und konkrete Risiken)

      Zuletzt legt der Verantwortliche fest, mit welcher Wahrscheinlichkeit sich die Möglichkeit eines Schadenseintritts (das Risiko) tatsächlich verwirklicht, was durch verschiedene Faktoren bedingt wird (siehe ausführlicher hierzu in "Definitionen und Erläuterungen: Anhaltspunkte für eine schädigende Datenverarbeitung). Generell kann zwischen abstrakten und konkreten Risiken unterschieden werden, wobei nur vorallem konkrete Risiken eine Anwendbarkeit des Datenschutzrechts rechtfertigen.
      
      a) Ein Schadenseintrittsrisiko ist lediglich abstrakt, wenn ein Schaden zwar theoretisch denkbar ist, aber (noch) keine Anhaltspunkte vorliegen, die auf eine solche Kausalkette schließen lassen. Das ist auch dann der Fall, wenn bestehende Risikoquellen durch den Einsatz technisch-organisatorischer Maßnahmen so weitgehend mitigiert wurden, dass eine schädigende Auswirkung dieser Risikoquellen mit hinreichender Wahrscheinlichkeit ausgeschlossen werden kann.
      
      Beispiel: Raumklimadaten sind auf einer gesicherten Datenbank gespeichert, um damit zukünftig ein Datenmodell zu trainieren. Die Daten ließen theoretisch Rückschlüsse auf Gebäudenutzer zu, wenn sie mit weiteren Informationen (wie z.B. Identifikatoren) verknüpft würden, dies ist aber vom Verantwortlichen nicht beabsichtigt. Es existiert (immer) ein abstraktes Risiko, dass durch einen IT-Sicherheitsvorfall Daten außerplanmäßig veröffentlicht oder in die Hände Dritter gelangen können. Ob nun auch ein konkretes Risiko für ein Grundrecht einer betroffenen Person vorliegt, ist erheblich davon abhängig, wer auf die Daten Zugriff hat und ob Maßnahmen implementiert sind, die einen Missbrauch der Daten durch diese Person verhindern.
      
      b) Es liegt hingegen schon ein konkretes Risiko vor, wenn
      
      aa) der Verantwortliche das schädigende Ergebnis mit der Datenverarbeitung gerade bezweckt oder
      
      bb) sonstige Anhaltspunkte bestehen, dass der Verantwortliche selbst oder ein Dritter mit (potenziellem) Zugang zu den Daten diese auf eine schädigende Art und Weise verarbeiten könnten und diese Verarbeitung nicht mit hinreichenden technisch organisatorischen Mitteln ausgeschlossen wurde.

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
  Relevant DSGVO norms

  

  
  

Relevant DSGVO norms

• Definitionen und Erläuterungen

  Wenn du Fragen zu einzelnen rechtlichen Begrifflichkeiten hast, findest Du hier weitere Informationen.

  Relevant DSGVO norms

  

  
  
  • Risiko

    Ein Risiko im Sinne der DSGVO ist das Bestehen der Möglichkeit des Eintritts eines Ereignisses, das selbst einen Schaden (einschließlich ungerechtfertigter Beeinträchtigung von Rechten und Freiheiten natürlicher Personen) darstellt oder zu einem weiteren Schaden für eine oder mehrere natürliche Personen führen kann. Es hat zwei Dimensionen: Erstens die Schwere des Schadens und zweitens die Wahrscheinlichkeit, dass das Ereignis und die Folgeschäden eintreten. (vgl. DSK Kurzpapier Nr. 18, Risiko für die Rechte und Freiheiten natürlicher Personen).

    Relevant DSGVO norms

    

    
    
  Relevant DSGVO norms

  

  
  
  • Schäden

    Umfasst sind physische, materielle und immaterielle Schäden

    Relevant DSGVO norms

    

    
    
  Relevant DSGVO norms

  

  
  
  • Ursachen

    Schäden können sich grundsätzlich ergeben aus:
    a) der geplanten Verarbeitung selbst,
    b) eigenverantworteten und
    c) fremdverursachten Abweichungen von der geplanten Verarbeitung (z. B. Drittwirkung, Naturkatastrophen, Hardwaredefekte, …)

    Relevant DSGVO norms

    

    
    
  Relevant DSGVO norms

  

  
  
  • Anhaltspunkte für eine schädigende Datenverarbeitung

    Anhaltspunkte für eine schädigende Datenverarbeitung im Sinne des Ergebniselements können sich ergeben aus:

    Relevant DSGVO norms

    

    
    
    • a) Besonderes Interesse des Verantwortlichen oder eines Dritten

      Ein Anhaltspunkt dafür, dass sich eine Datenverarbeitung schädigend oder anderweitig nachteilig auf die betroffene Person auswirkt, ist das Interesse des Verantwortlichen oder eines Dritten mit Zugang zu den Daten. So hat ein Arbeitgeber typischerweise ein Interesse daran, die Anwesenheit oder Produktivität von Arbeitnehmenden am Arbeitsplatz zu überwachen. Hat der Arbeitgeber Zugang zu hochaufgelösten CO-2 Sensordaten, die eine solche Überwachung der Arbeitnehmenden ermöglichen, muss er daher ggf. technische und organisatorische Maßnahmen treffen, die eine derartige Datennutzung verhindern.

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • b) Besondere Missbrauchsanfälligkeit der Verarbeitungsumgebung

      Wenn der Verantwortliche keinerlei oder nur unzureichende Maßnahmen getroffen hat, um den Zugriff auf die Daten zu beschränken, oder das Verarbeitungsumfeld erfahrungsgemäß besonders anfällig für irreguläre Datenzugriffe und Sicherheitsvorfälle ist (siehe dazu Vertraulichkeit und IT-Sicherheit), können sich auch hieraus schon Anhaltspunkte für eine schädigende Datenverarbeitung ergeben. Das gilt insbesondere, wenn der drohende Schaden besonders schwerwiegend ist (siehe c).

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • c) Besonders schwerwiegend Schaden für den Betroffenen:

      Ist das bedrohte Rechtsgut beim Eintritt des Schadens besonders intensiv betroffen, etwa weil besonders sensible Informationen offengelegt werden oder dem Betroffenen ein schwerer materieller oder immatrieller Verlust droht, können an den Verantwortlichen höhere Maßstäbe an den Nachweis der Sicherheit der Verarbeitungsumgebung gestellt werden, um Anhaltspunkte für den Eintritt des schädigenden Ereignisses auszuräumen. Das entspricht einer Verschiebung der Beweislast zulasten des Verantwortlichen.

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
  Relevant DSGVO norms

  

  
  
  • Raumklimadaten

    Messdaten wie der CO2-Gehalt und die Raumtemperatur liefern Informationen über den Zustand des Raumes und sind daher sachbezogene Daten. Sie können aber zu Personen, die sich in dem Bezugsobjekt ´Raum´ aufhalten, aufgrund ihrer räumlichen Nähe zum Subjekt eine vom Verarbeitungszweck unabhängige inhaltliche Verknüpfung aufweisen.
    
    So lässt sich etwa anhand der Raumtemperatur und der relativen Luftfeuchtigkeit (nur ein Sensorknoten pro Raum!) ableiten ob und wie viele Menschen in einem Raum anwesend sind (vgl. Morgner et al., S. 11). Darüber hinaus können sogar Aussagen über das Verhalten der Personen ausschließlich anhand dieser Daten gewonnen werden (z.B. ob die Personen stehen, sitzen, umhergehen etc.) (Morgner et al., S. 10, 12) Dieser Informationsgehalt kann durch In-Kontext-Setzen mit weiteren Informationen (vgl. WP 136 (de) S. 11 "unter Berücksichtigung aller Begleitumstände zu beurteilen" ), etwa über Ort, Frequenz und Zeitpunkt der Datenerhebungen (Metadaten), angereichert werden, und so weitere Rückschlüsse auf das Verhalten der Person oder Personengruppe ermöglichen (eine Person x betritt zur Zeit y den Raum z). Der Gehalt der ableitbaren Informationen muss dabei eine gewisse Schwelle überschreiten, die sich danach bemisst, ob konkrete Risiken für geschützte Rechtgüter vorliegen. Nur dann, wenn also hinreichende Informationen über die Kausalkette zwischen DV und potenziellem Schadenseintritt (d.h. Verletzung des Privatlebens durch Offenlegung der Information) bestehen (vgl. v. Grafenstein EDPL 2020, 509, 519), kann ein Datum ausschließlich aufgrund seines Inhalts "über" eine Person (d.h. über ihr Privatleben) sein.
    
    Sind diese Risiken auch spezifisch (konkret)?
    Der Grad der räumlichen oder funktionalen Verknüpfung zwischen sachbezogenen Daten und betroffener Person sowie die Qualität und Quantität der ableitbaren Information kann anhand mehrerer Faktoren bemessen werden, insbesondere:
    1. Welche Messdaten werden erhoben? --> je höher die Vielfalt der Messgrößen (z.B. Temperatur UND Luftfeuchtigkeit), desto genauer die abgeleitete Information Morgener et al. (2017), S. 14
    2. Zeitfenster der Messung --> je größer das Zeitfenster der Messung desto genauer die ableitbaren Informationen vgl. Morgener et al. (2017), S. 13
    3. Größe des Raums --> je kleiner der Raum desto genauer die ableitbaren Informationen (Morgener, S. 14)
    4. Position des Sensors im Raum (Morgener, S. 14)
    5. Ist dem potenziellen Angreifer (bzw. seinem Classifier) die Position des Sensors im Raum bekannt? (Morgener,S. 15-16)
    6. Granularität der Daten (sekündlich vs. jährlich; Zimmerebene vs. Gebäudeebene vs. Quartiersebene)
    7. Anzahl der Personen, auf welche die Daten bezogen werden können (abgeschlossene Bürobelegschaft vs. Menschen in Flughafenterminal)
    8. Welche Zusatzinformationen bestehen und wer hat darauf legalen (EuGH, C-582/14 - Breyer, 46 ff.) Zugriff? z.B. Raumbelegungsplan
    9. Art des Gebäudes/Kontext der Verarbeitung --> Ist Ort dem Privatleben oder der Öffentlichkeit zuzurechnen? z.B. ist Arbeitsplatz von der Öffentlichkeit abgeschirmt oder nicht (vgl. EuGH ZfBR 2008, 304, 308)? Privathaus oder öffentliches Gebäude?

    Relevant DSGVO norms

    

    
    
  Relevant DSGVO norms

  

  
  
  • Gebäudedaten

    Geometrische Gebäudedaten (z. B. Bauwerksgeometrie) und nicht-geometrische Gebäudedaten (z. B. bauteilbezogene Attribute, Gebäudehistorie) sind Informationen über das Gebäude und damit sachbezogene Daten. Aufgrund ihrer Nähe zum einem Rechtssubjekt (z.B. dem Eigentümer) können auch sachbezogene Daten Informationen über das Privatleben von Personen enthalten:
    
    Zu prüfen ist hier, ob es sich bei den Gebäudedaten um 'private' (von der Öffentlichkeit grds. abgeschirmte) Informationen handelt.
    Grundsätzlich handelt es sich bei den Gebäudedaten wie aufgezeigt um sachbezogene Daten. Insoweit diese einer Person zugeordnet werden können eine Datenkategorien aber auch Informationen 'über' diese Person transportieren, etwa indem aufgrund der Daten Rückschlüsse auf Informationen getroffen werden können, die dem Außenstehenden sonst verborgen geblieben wären. So könnten etwa die Daten zu 'Geschossanzahl', 'Umfang (Gebäudeumriss)' und 'Eigentümer oder Mieter' Aussagen über das Vermögen einer Einzelperson abgeleitet werden. Voraussetzung hierfür ist immer die Verknüpfung der Information mit der betroffenen Person, was im Fall von Gebäudedaten wie aufgezeigt beispielsweise über Grundbuch, Telefonbuch oder Klingelschild möglich ist.

    Relevant DSGVO norms

    

    
    
    • 1. Immobilienwert: (-)

      So könnte der Immobilienwert eines Gebäudes dazu verwendet werden, Aussagen über die Kreditwürdigkeit des Eigentümers zu treffen. Dafür ist aber ein Ingangsetzen einer entsprechenden Kausalkette erforderlich, das erst durch Setzung eines entsprechenden Verarbeitungszwecks erfolgt. Das sachbezogene Datum wird erst dadurch mit einer Person verknüpft, dass es zur Bewertung dieser Person verwendet wird (so auch die Art. 29 DS-Gruppe vgl. WP 136_de, S. 10).

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • 2. Dienstleistungen (-)

      Enthalten die Daten auch Informationen über einzelne Dienstleistungen (z.B. des facility managements oder einer Handwerksfirma), könnten dort auch Informationen über das Privatleben der dort Beschäftigten enthalten sein. Da ihre berufliche Tätigkeit indes nicht von der Öffentlichkeit abgeschirmt erfolgt, ist hier hingegen nicht das Privatleben, sondern das Berufsleben der Person betroffen (siehe Ergebniselement)

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
  Relevant DSGVO norms

  

  
  
  • Energieverbrauchsdaten

    Energieverbrauchsdaten sind dem Kernbereich des Privatlebens zuzuordnen, insoweit sich hieraus Informationen über den abgeschirmten Lebensbereich betroffener Personnen innerhalb ihres geschützten Wohnraumes ableiten lassen (häuslicher Bereich als abgeschirmter Kernbereich der Privatssphäre - vgl. BGH,GRUR 1996, 923, 925, siehe auch DSK Stellungnahme zu Funkwasserzählern, 2023). So legen z.B. Greveler et al. (2012) dar, wie sich aus hochauflösenden Daten intelligenter Verbrauchszähler Aussagen darüber treffen lassen, welches Fernsehprogramm gerade läuft. Für tiefere Einblicke in den Inhalt des Privatlebens sind dabei aber in der Regel "räumliche, zeitliche und soziale Kontextinformationen notwendig [...], um detailreiche und kontextabhängige Informationen zu erhalten" vgl. Richter et al. (2018), S. 131. Anhaltspunkte für die Identifizierung einzelner elektronischer Geräte aus Smart-Meter Daten und deren Nutzung sind z.B. Leistungsaufnahme, Funktionsweise und Lastprofil einzelner Gerätetypen, typische Arbeitszyklen, Nutzungszeitpunkte und die Verwendungshäufigkeit (Müller, DuD 2010, 359, 361).
    
    Bewertung von Energieverbrauchsdaten in Wohngebäuden:
    Alle von einem Smart Meter erhobenen Energieverbrauchsdaten sind auch unabhängig von ihrer Auflösung personenbezogene Daten, insoweit sie sich auf eine einzelne Wohneinheit zurückführen lassen.
    
    Welche Informationen lassen sich ableiten?
    Aus Lastprofilen (idR 15-minütige Abtastung) lässt sich z.B. erkennen, welche Geräte im Haushalt in welchem Zeitraum benutzt werden (vgl. das Nyquist-Shannon-Abtasttheorem, wonach nur Schaltvorgänge erkennbar sind, die maximal die halbe Periodendauer der Abtastung haben; siehe z.B. am Beispiel des Kühlschranks in: Müller, DuD 2010, 359, 362, dessen Lastprofil ab einer 15-minütigen Messfrequenz erkennbar wird). Darüber hinaus lassen sich in erheblichem Maße weitere Informationen über das Verhalten von Personen ableiten, die insbesondere die Gewohnheiten des täglichen Lebens beinhalten:
    Zu welcher Uhrzeit geht der Nutzer zu Bett? Zu welcher Uhrzeit steht er auf? Gibt es nächtliche Toilettenbesuche? Wie häufig kocht er? Benutzt er regelmäßig den Backofen? Wann verlässt er das Haus? Wann kommt er zurück? Wie häufig wird das Baby gewickelt (Heizstrahler über dem Wickeltisch)? Verändern sich die Lebensgewohnheiten (Nachwuchs, Besuch)?
    
    Wie können Personen identifiziert werden (wann ist das Risiko für das Privatleben betroffener Personen konkret)?
    Im Wohnungskontext existiert eine Vielzahl potenzieller Identifikatoren. Informationen lassen sich etwa über den zwischen Energielieferant und Vertragsnehmer bestehenden Vertrag auf den Bewohner zurückführen (vgl. BfDI, Orientierungshilfe datenschutzgerechtes Smart Metering, S. 8; Keppeler, EnWZ 2016, 99, 100). Andere Mitbewohner können nebst Telefonbuch und Klingelschild ggf. auch über IP-Adressen identifiziert werden (zum Für und Wider: Keppeler, EnWZ 2016, 99, 101).
    
    Wie kann die Beeinträchtigung des Privatlebens reduziert (oder ausgeschlossen) werden?
    Eine Reduizierung der Identifizierbarkeit, sowie der Einblicke in die Privatsphäre betroffener Personen lässt sich insbesondere durch Maßnahmen der Datenminimierung (siehe ausführlicher Datenminimierung (Begrenzung des Personenbezugs) erzielen, wie z.B.
    - geringere zeitliche Daten-Auflösung
    - Aggregation der Zwischenwerte
    - Aggregation mehrerer Haushalte

    Relevant DSGVO norms

    

    
    
  Relevant DSGVO norms

  

  
  

Relevant DSGVO norms

Rechtmäßigkeit

Art. 6, Art. 7, Art. 4 Abs. 11, Art. 12, Art. 13, Art. 22 Abs. 2 lit. c, Art. 44 ff., Art. 25 Abs. 1, Art. 5 Abs. 1 lt. a, Abs. 2 DSGVO

Kurz & bündig: Die Datenverarbeitungen werden auf eine wirksame Rechtsgrundlage gem. Art. 6 Abs. 1 lit. a - f DSGVO gestützt

Relevant DSGVO norms

• Einwilligung

  Die wohl wichtigste Rechtsgrundlage für die Verarbeitung personenbezogener Daten bildet die Einwilligung der betroffenen Person. Die Datenverarbeitung kann auf Art. 6 Abs. 1 S. 1 lit. a DSGVO gestützt werden, wenn die betroffene Person vor der Datenerhebung ausdrücklich und in informierter Weise in die Verarbeitung der personenbezogener Daten zu festgelegten Zwecken eingewilligt hat. Eine wirksame Einwilligung liegt unter den folgenden Voraussetzungen vor:

  Relevant DSGVO norms

  

  
  
  • Es wurde eine wirksame Einwilligung eingeholt
    Relevant DSGVO norms

    

    
    
    • 1. Ausdrückliche, vorherige Erteilung der Einwilligung für einen oder mehrere Zwecke

      Aus der Einwilligungserklärung muss sich genau ergeben, für welche Zwecke die betroffene Person in die Verarbeitung personenbezogener Daten einwilligt. Hierdurch wird dem Zweckbindungsprinzip von Art. 5 Abs. 1 lit. b DSGVO Rechnung getragen:
      
      a) Alle Zwecke, für die personenbezogene Daten verarbeitet werden sollen (siehe Zweckspezifizierung), müssen daher einzeln bei der Abfrage der Einwilligung aufgelistet sein (vgl. Art. 7 Abs. 2 DSGVO DSGVO - Unterscheidbarkeit der Einwilligung).
      
      b) Die betroffene Person muss in diese Zwecke einzeln und aktiv einwilligen.
      - Eine wirksame Einwilligung erfolgt durch aktives An- (und ggf. späteres) Abwählen einzelnder Zwecke, z.B. durch das Setzen von Häkchen oder ähnlicher Auswahlmechanismen. Vorausgewählte Häkchen oder Stillschweigen des Betroffenen bilden keine wirksame Einwilligung im Sinne von Art. 6 DSGVO.
      - Die Einwilligung kann formlos (d.h. prinzipiell auch mündlich) eingeholt werden. Zu beachten ist aber die Pflicht die Einwilligung nachweisen zu können (Art. 7 Abs. 1 DSGVO). Es empfielt sich daher die Verwendung eines schriftlichen Einwilligungsformulars (auch z.B. über ein interaktives PDF) oder einer digitalen Nutzerschnittstelle.
      
      c) Die Einwilligung muss vor der Erhebung der Daten oder ihrer Weiterverarbeitung eingeholt werden und darf zum Zeitpunkt der Datenverarbeitung noch nicht widerrufen worden sein (Art. 7 Abs. 3 DSGVO).

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • 2. Informiertheit der Einwilligung

      Die Einwilligung muss in informierter Weise erteilt worden sein, wofür die betroffene Person im Zeitpunkt ihrer Einwilligungsentscheidung Zugang zu allen relevanten Informationen haben muss (vgl. EDPB, Leitlinien 05/2020 zur Einwilligung nach der Verordnung (EU) 2016/679, Version 1.1).
      
      Folgende Informationen werden der betroffenen Person im Zeitpunkt der Einwilligung zugänglich gemacht:
      
      1. Die Identität des Verantwortlichen gem. Art. 4 Nr. 7 DSGVO oder aller gemeinsam Verantwortlichen, und zwar in einer Weise, die es der betroffenen Person leicht erkennen lässt, wer für die Datenverarbeitung verantwortlich ist.
      2. Der Zweck jeder Verarbeitung, für welche die Einwilligung eingeholt wird, und zwar in einer Weise, die es der betroffenen Person erlaubt, leicht zu verstehen, wozu sie ihre Zustimmung erteilt (siehe bereits Zweckspezifizierung).
      3. Das Recht der betroffenen Person, ihre Einwilligung gemäß Art. 7 Abs. 3 DSGVO jederzeit mit Wirkung für die Zukunft zu widerrufen.
      4. Die Datenkategorien, die für den spezifischen Zweck erhoben werden (siehe Personenbezug der Daten).
      5. Im Falle automatisierter Entscheidungsfindung gem. Art. 22 Abs. 2 lit. c DSGVO (Für Datenverarbeitungen im Rahmen dieses Kriterienkatalogs nicht einschlägig!): Informationen über die Verwendung der Daten zur automatisierten Entscheidungsfindung.
      6. Insoweit Daten in Länder außerhalb der EU übermittelt werden, Informationen über mögliche Risiken, die mit einer solchen Datenübermittlung einhergehen (siehe Datentransfer in Drittstaaten), insbesondere wenn für dieses Land kein Angemessenheitsbeschluss und und keine angemessenen Garantien gemäß Art. 46 DSGVO vorliegen.
      7. Wie die betroffene Person der Verarbeitung personenbezogener Daten zustimmen oder diese ablehnen können.
      8. Die (positiven und negativen) Folgen, die mit der Ablehnung oder Zustimmung zur Datenverarbeitung verbunden sind.
      9. Die (zumindest ungefähre) Dauer der Speicherung und sonstige Verarbeitung der personenbezogenen Daten (vgl. EuGH, Urt. v. 1. Okt. 2019, C-673/17, Planet 49, 72-79).

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • 3. Freiwilligkeit der Einwilligung

      Die betroffene Person muss eine echte Alternative zur Einwilligung haben. Freiwilligkeit liegt daher üblicherweise nicht vor, wenn die Erfüllung eines Vertrages von einer Einwilligung in die Datenverarbeitung abhängig gemacht wird - sogennantes Kopplungsverbot. Insoweit die Datenverarbeitung für die Erfüllung eines Vertrages erforderlich ist, kann die Datenverarbeitung gem. Art. 6 Abs. 1 S. 1 lit. b DSGVO auf diesen Vertrag gestützt werden, womit keine Einwilligung der Betroffenen erforderlich ist (siehe Erfüllung eines Vertrages).

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • 4. Besonderheit bei minderjährigen Personen

      Insofern die Einwilligung von Personen eingeholt werden soll, die das 16. Lebensjahr noch nicht vollendet haben, müssen die Sorgeberechtigten in die Verarbeitung eingewilligt oder der Einwilligung der Minderjährigen zugestimmt haben (Art. 8 Abs. 1 DSGVO). Der Verantwortliche trifft insoweit Maßnahmen, die gewährleisten, dass Daten Minderjähriger nur auf der Grundlage von Art. 6 Abs. 1 S. 1 lit. a DSGVO verarbeitet werden, wenn eine solche Zustimmung tatsächlich vorliegt.

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
  Relevant DSGVO norms

  

  
  

Relevant DSGVO norms

• Erfüllung eines Vertrages

  Besteht zwischen dem Verantwortlichen (oder einem Dritten) und der betroffenen Person bereits ein Vertragsverhältnis oder bahnt sich ein solches Vertragsverhältnis an (sogenanntes Vorvertragsverhältnis), kann die Datenverarbeitung ggf. auf diesen Vertrag oder Vorvertragsverhältnis gestützt werden. Dazu muss die Datenverarbeitung für die Erfüllung der vertraglichen Pflicht erforderlich sein, oder für eine vorvertragliche Maßnahme, die auf Anfrage der betroffenen Person erfolgt.

  Relevant DSGVO norms

  

  
  
  • Die Datenverarbeitung ist zur Erfüllung eines Vertrages erforderlich
    Relevant DSGVO norms

    

    
    
    • 1. Bestehen eines wirksamen Vertrags oder Vorvertragsverhältnisses

      Es muss ein wirksamer Vertrag bestehen, in welchem die betroffenen Person Vertragspartei ist. Der Verantwortliche muss selbst nicht zwingend Vertragspartei sein, sondern kann auch seinerseits zur Durchführung der Datenverarbeitung von einer anderen Person beauftragt werden, die ihrerseits einen Vertrag mit der betroffenen Person geschlossen hat (vgl. Albers/Veit in: Wolff/Brink/v. Ungern-Sternberg, Art. 6 DSGVO Rn. 42).

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • 2. Erforderlichkeit der Datenverarbeitung

      Die Datenverarbeitung muss für die Erbringung der geschuldeten Leistung oder für eine Maßnahme im Rahmen des vorvertraglichen Schuldverhältnisses auch erforderlich sein.
      
      a) Objektiv erforderlich
      Die Datenverarbeitung muss objektiv erforderlich sein, wofür es auf einen tatsächlichen Zusammenhang zwischen der Datenverarbeitung, bzw. dem spezifizierten Verarbeitungszweck und der geschuldeten Leistung ankommt. Datenverarbeitungen, die in keinem erkennbaren Zusammenhang zur Vertragserfüllung stehen, sind daher schon objektiv nicht erforderlich. Auch die ausdrückliche Erwähung der Datenverarbeitung in einer Vertragsklausel ändert daran nichts, wenn ansonsten keine Erforderlichkeit für die Leistungserbringung besteht (Art. 29 Datenschutzgruppe, Stellungnahme 06/2014 zum Begriff des berechtigten Interesses des für die Verarbeitung Verantwortlichen (WP217), S. 21-22).
      
      b) Erwartbarkeit
      Relevant für die Erforderlichkeit ist ebenfalls eine subjektive Perspektive - also ob die Datenverarbeitung generell und ihrem Umfang nach für die betroffene Person aufgrund des Vertragsschlusses vorhersehbar war (vgl. EDSA, Leitlinien 2/2019 zur Verarbeitung personenbezogener Daten gemäß Art. 6 Abs. 1 lit. b DSGVO, Rn. 12):
      
      Beispiel:
      Die Verarbeitung von Kunden- und Rechnungsdaten (z.B. Name, Adresse, Leistungsgegenstand und -umfang, Rechnungsnummer) ist für Belieferung eines Endkunden mit Energie erforderlich. Je nachdem wie das Bezahlmodell für die Energiebelieferung ausgestaltet ist, können sich aber Unterschiede ergeben, in welcher Auflösung die Energieverbrauchsdaten vorliegen müssen. Ist eine Abrechnung zu einem festgelegten Preis pro kw/h vereinbart, genügt ggf. der aggregierte Monats- oder Jahresverbrauch. Wird nach dynamischen Strompreisen abgerechnet, kann eine tägliche, stündliche oder minütliche Erfassung von Energieverbrauchsdaten erforderlich sein.
      
      Empfehlung: Insofern der Verantwortliche nicht sicher ist, ob eine Datenverarbeitung zur Erbringung der geschuldeten Leistung erforderlich ist, sollte er neben dem Vertragsschluss die ausdrückliche Einwilligung der betroffenen Person zu Datenverarbeitung einholen, insofern dies zumutbar ist. Anders als bei Art. 6 Abs. 1 lit. b DSGVO steht der betroffenen Person hier das jederzeitige Widerrufsrecht zu und ist daher die datenschutzfreundlichere Ausgestaltung (vgl. VGH München Beschl. v. 26.9.2018 – Az. 5CS181157). Parallel oder alternativ zu lit. b DSGVO können außerdem die berechtigten Interessen gem. Art. 6 Abs. 1 lit. f DSGVO einschlägig sein (siehe dort). In jedem Fall muss für die betroffene Person aber eindeutig erkennbar sein, auf welche Rechtsgrundlage der Verantwortliche die Datenverarbeitung stützt (siehe Transparenz).
      
      c) Zusammenfassung: Beurteilung durch den Verantwortlichen
      Folgende Fragen sollte sich der Verantwortliche stellen, wenn er die Anwendbarkeit von Art. 6 Abs. 1 lit. b DSGVO beurteilt: (vgl. EDPB, Leitlinien 02/2019, 33)
      - Welche Art von Dienst wird der betroffenen Person erbracht? Welches sind seine Unterscheidungsmerkmale?
      - Welches ist der genaue Beweggrund des Vertrags (d. h. sein Inhalt und sein grundlegendes Ziel)?
      - Was sind die wesentlichen Elemente des Vertrags?
      - Welches sind die gegenseitigen Perspektiven und Erwartungen der Vertragsparteien? Wie wird der Dienst der betroffenen Person gegenüber angepriesen oder beworben? Würde ein normaler Nutzer des Dienstes vernünftigerweise erwarten, dass in Anbetracht der Art des Dienstes die geplante Verarbeitung erfolgt, um den Vertrag zu erfüllen, dessen Partei er ist?

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
  Relevant DSGVO norms

  

  
  

Relevant DSGVO norms

• Erfüllung einer rechtlichen Pflicht

  Ist der Verantwortliche aufgrund eines Gesetzes oder einer Verordnung der EU oder eines Mitgliedsstaates zur Durchführung der Datenverarbeitung verpflichtet, stützt er diese auf Art. 6 Abs. 1 lit. c DSGVO.

  Relevant DSGVO norms

  

  
  
  • Die Datenverarbeitung ist erforderlich zur Erfüllung einer rechtlichen Pflicht

    Soll die Datenverarbeitung auf eine rechtliche Verpflichtung gestützt werden, muss der Verantwortliche die genaue Rechtsnorm aus dem Landes-, Bundes- oder europäischen Recht benennen, aus der sich die Rechtspflicht ergibt. Die rechtliche Verpflichtung zur Datenverarbeitung muss sich dabei unmittelbar auf die Datenverarbeitung beziehen; allein der Umstand, dass ein Verantwortlicher, um irgendeine rechtliche Verpflichtung erfüllen zu können, auch personenbezogene Daten verarbeiten muss, reicht nicht aus (LSG Hessen BeckRS 2020, 1442 Rn. 13). Rechtspflichten aus Verträgen zwischen zwei Personen des Privatrechts sind nicht von lit. c DSGVO umfasst.
    
    Beispiel für eine Rechtspflicht im Sinne von Art. 6 Abs. 1 S. 1 lit. c DSGVO:
    - § 6 Abs. 1 HeizkostenVO Pflicht des Gebäudeeigentümers den Gebäudenutzern monatliche Energieverbrauchsinformationen bereitzustellen.
    - § 29 MsbG Pflicht des Messstellenbetreibers zur Ausstattung von Messstellen mit intelligenten Messsystemen
    - § 25 MsbG Pflicht des Smart-Meter Gateway Betreibers zur Installation, Inbetriebnahme, Konfiguration, Administration, Überwachung und Wartung des Smart-Meter-Gateways
    - § 55 Konkreter Umfang der Messwerterhebung Strom (z.B. § 55 Abs. 4 für die Messung von Strom aus Anlagen nach dem Erneuerbare-Energien-Gesetz oder dem Kraft-Wärme-Kopplungsgesetz).

    Relevant DSGVO norms

    

    
    
  Relevant DSGVO norms

  

  
  

Relevant DSGVO norms

• Wahrnehmung einer öffentlichen Aufgabe

  Handelt es sich bei dem Verantwortlichen um eine öffentliche oder private Stelle, der eine Aufgabe übertragen wurde, kann die Datenverarbeitung unter den Voraussetzungen von Art. 6 Abs. 1 S. 1 lit. e DSGVO auf die Wahrnehmung dieser Aufgabe gestützt werden:

  Relevant DSGVO norms

  

  
  
  • Die Datenverarbeitung erfolgt in Wahrnehmung einer öffentlichen Aufgabe
    Relevant DSGVO norms

    

    
    
    • Alt. 1: die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt

      1. Wahrnehmung einer Aufgabe im öffentlichen Interesse
      Der Verantwortliche muss zunächst überhaupt eine Aufgabe wahrnehmen, die im öffentlichen Interesse liegt und muss dieses Interesse im Einzelfall begründet können. Orientieren lässt sich hierbei an den Zielen der EU, wie z.B.:
      - die Erhaltung und der Schutz der Umwelt sowie die Verbesserung ihrer Qualität,
      - die Förderung des wissenschaftlichen und technologischen Fortschritts (siehe zur Verarbeitung von Messdaten zu Forschungszwecken auch den Messleitfaden der vorherigen wissenschaftlichen Begleitforschung EWB),
      - die Förderung von sozialer Gerechtigkeit und sozialem Schutz,
      - die Stärkung des wirtschaftlichen, sozialen und territorialen Zusammenhalts und der Solidarität zwischen den EU-Mitgliedsländern oder nach nationalem Recht als im öffentlichen Interesse liegende Aufgabe.
      
      2. Übertragung der Aufgabe an den Verantwortlichen
      Die wahrgenommene Aufgabe muss auch tatsächlich an den Verantwortlichen übertragen worden sein (bestätigt durch den EuGH im Urteil v. 20.10.2022 - C-306/21 - (ECLI:EU:C:2022:813) Rn. 52).
      
      a) Die Aufgabenübertragung kann erfolgen durch:
      - nationales Recht oder Unionsrecht
      - Außenrecht (Parlamentsgesetze, Verordnungen, Richtlinien) und Innenrecht (insb. Verwaltungsvorschriften)
      - die Aufgabe, deren Wahrnehmung und Spezifizierungen hinsichtlich der Verarbeitung können auch durch andere Rechtsformen festgelegt und übertragen werden
      
      b) Zusätzliche Anforderungen an die Aufgabenzuweisungsnorm. Erforderlichkeit einer datenverarbeitungsbezogenen Rechtsgrundlage:
      In der Aufgabenzuweisungsnorm muss nicht bereits der konkrete Verarbeitungszweck festgelegt sein. Nach einer in der Literatur vertretenen Auffassung muss sich die Aufgabenzuweisungsnorm aber zumindest generell auf einen Verarbeitungsvorgang beziehen, damit die Norm Rechtsgrundlage einer Datenverarbeitung nach Art. 6 Abs. 1 lit. e DSGVO sein kann (z.B. indem der Wortlaut dem Verantwortlichen ausdrücklich die "Wahrnehmung und Erfüllung" dieser Aufgabe zuweist - nicht nur die generelle Zuständigkeit). Nach der hier vertretenen Auffassung genügt es hingegen, dass die konkrete Datenverarbeitung für die Wahrnehmung der Aufgabe erforderlich ist (siehe 3.). Eine ausführlichere Darstellung dieses Meinungsstreits erfolgt in den Definitionen und Erläuterungen (siehe dort).
      
      Beispiele:
      - Einige Landesgesetze weisen der kommunalen Verwaltung oder Landesverwaltung die Kompetenz der Erhebung von Wärmedaten für die kommunale Wärmeplanung zu. Eine Rechtsgrundlage existiert etwa in § 26, 27 des Hamburger Klimaschutzgesetzes sowie in § 21 des Berliner Klimaschutz- und Energiewendegesetz.
      - Für Hochschulen sehen die Landesdatenschutzgesetze teilweise explizite Regelungen für eine Datenverarbeitung zu Forschungszwecken vor, vgl. z.B. § 17 Abs. 1 DSG NRW
      - Negativbeispiel: Art. 10 Abs. 1 WPG bildet aufgrund des ausdrücklichen Ausschlusses personenbezogener Daten in Art. 10 Abs. 2 WPG keine wirksame RGL
      
      3. Erforderlichkeit für die Wahrnehmung der Aufgabe
      Die Datenverarbeitung muss für die Wahrnehmung der zugewiesenen Aufgabe auch relevant und erforderlich sein. Die Datenverarbeitung muss dabei nicht zwingend das mildeste Mittel für die Wahrnehmung der Aufgabe darstellen (so auch: Albers/Veit in: Wolff/Brink/v. Ungern-Sternberg, Art. 6 DSGVO Rn. 59), allerdings muss der Verantwortliche mindestens eine innere Beziehung zwischen der Datenverarbeitung und der Erfüllung der Aufgabe darlegen können. Im Einzelfall lohnt es sich für den Verantwortlichen darlegen zu können, warum alternative, weniger einschneidende Maßnahmen nicht in Frage kommen (vgl. EuGH, Urt. v. 11. November 2010, - C‑92/09 und C‑93/09 - Schecke v. Hessen).
      
      Die Erforderlichkeit ist jedenfalls ein autonomer Begriff des Gemeinschaftsrechts und kann nicht individuell von Mitgliedsstaaten bestimmt werden oder zwischen Mitgliedsstaaten abweichen, sondern ist einheitlich in der gesamten EU auszulegen (siehe EuGH, Urt. v. 18. Dezember 2008 - C‑524/06 - Huber v. Deutschland, Rn. 52).
      
      4. Kein Widerspruch der betroffenen Person
      Es darf kein Widerspruch einer betroffenen Person nach Art. 21 Abs. 1 S. 1 DSGVO vorliegen.
      
      a) Wirkung des Widerspruchs
      Die berechtigten Interessen stellen nur eine wirksame Rechtsgrundlage dar,
      - wenn die betroffene Person der Datenverarbeitung nicht widersprochen hat,
      - oder wenn der Verantwortliche trotz eines Widerspruchs der betroffenen Person zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person
      überwiegen,
      - oder wenn der Verantwortliche trotz eines Widerspruchs der betroffenen Person nachweisen kann, dass die Datenverarbeitung der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient.
      
      Liegt ein Widerspruch der betroffenen Person vor, muss der Verantwortliche die Datenverarbeitung unverzüglich einstellen. Auf die Rechtmäßigkeit der Datenverarbeitungen die vor dem Zeitpunkt des Widerspruchs vorgenommen wurden, hat der Widerspruch widerum keine Auswirkung.
      
      b) Data Protection by Design
      Die Widerspruchsmöglichkeit muss für betroffene Personen einfach zugänglich sein und ohne zusätzliche Hürden erfolgen können. Insobesondere darf sie nicht an ein Entgelt oder eine sonstige Gegenleistung der betroffenen Person geknüpft sein. Das Widerspruchsrecht nach Art. 21 DSGVO wird ausführlicher im Thema Betroffenenrechte behandelt (siehe dort).

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • Alt. 2: die Verarbeitung erfolgt in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde

      Anmerkung: Der Fall hoheitlich übertragener öffentlicher Gewalt ist in diesem Rahmen üblicherweise nicht einschlägig und wird mithin nicht vom Anwendungsbereich dieses Kriterienkatalogs umfasst.

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
  Relevant DSGVO norms

  

  
  

Relevant DSGVO norms

• Verarbeitung personenbezogener Daten durch öffentliche Stellen

  Für öffentliche Stellen, die Bundesrecht ausführen, enthält § 3 BDSG eine Generalklausel zur Verarbeitung personenbezogener Daten. Teilweise existieren vergleichbare Generalklauseln auch in Landesgesetzen). Hiernach ist eine Datenverarbeitung unter den folgenden Voraussetzungen zulässig.

  Relevant DSGVO norms

  

  
  
  • Die Datenverarbeitung erfolgt durch eine zuständige öffentliche Stelle
    Relevant DSGVO norms

    

    
    
    • 1. Öffentliche Stelle

      Das umfasst Behörden, Einrichtungen und sonstigen öffentlichen Stellen des Bundes und der Länder, die Gemeinden und Gemeindeverbände sowie die sonstigen der Aufsicht des Bundes oder der Länder unterstehenden juristischen Personen des öffentlichen Rechts und deren Vereinigungen ungeachtet ihrer Rechtsform (zur Definition öffentlicher und privater Stellen siehe § 2 BDSG).
      
      - Achtung: Für Landes- und Kommunalbehörden ist das BDSG nur anwendbar, insoweit die Anforderungen von § 1 Abs. 1 BDSG erfüllt sind, also der Datenschutz nicht durch Landesgesetz geregelt ist und die Behörden Bundesrecht ausführen. Allerdings enthalten die Landesdatenschutzgesetze häufig ähnliche Generalklauseln, vgl. z.B. § 3 Abs. 1 HDSIG.
      - Achtung: Beliehene können sich nicht auf § 3 BDSG berufen (siehe Definitionen und Erläuterungen).
      - Achtung: Die zuständige Aufsichtsbehörde richtet sich hier nach Art. 55 Abs. 2 DSGVO, womit ausschließlich die nationale Datenschutzbehörde zuständig ist (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, BfDI).

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • 2. Zuständigkeit der öffentlichen Stelle

      Die öffentliche Stelle muss für die Aufgabe, die sie mit der Datenverarbeitung wahrnimmt auch zuständig sein. Die Zuständigkeit kann durch Innenrecht oder Außenrecht begründet worden sein (z.B. die Hochschulgesetze der Länder hinsichtlich der Zuweisung von Forschungsaufgaben an öffentlich-rechtliche Forschungseinrichtungen; § 9 Abs. 2 S. 2 EDL-G für die Bundesstelle für Energieeffizienz; § 6 Wärmeplanungsgesetz (WPG für die planungsverantwortliche Stelle für die Wärmeplanung der Länder).

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • 3. Erforderlichkeit für die Wahrnehmung der Aufgabe

      Die Datenverarbeitung muss auch für die Wahrnehmung der konkreten Aufgabe erforderlich sein. Dafür ist ebenfalls mindestens eine innere Beziehung zwischen der Datenverarbeitung und der Wahrgenommenen Aufgabe notwendig (siehe für Informationen zur Durchführung einer Erforderlichkeitsprüfung bereits Erfüllung eines Vertrages)

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • 4. Alternative 2: Die Datenverarbeitung ist zur Ausübung öffentlicher Gewalt erforderlich, die dem Verantwortlichen übertragen wurde

      Anmerkung: Der Fall hoheitlich übertragener öffentlicher Gewalt ist in diesem Rahmen üblicherweise nicht einschlägig und wird mithin nicht vom Anwendungsbereich dieses Kriterienkatalogs umfasst.

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
  Relevant DSGVO norms

  

  
  

Relevant DSGVO norms

• Berechtigte Interessen

  Die DSGVO erkennt grundsätzlich das Interesse des Verantwortlichen oder eines Dritten an, "erforderliche" Verarbeitungen personenbezogener Daten auch ohne Zustimmung der betroffenen Personen durchzuführen. Insofern dieses Interesse "berechtigt" ist und dem Interesse betroffener Personen überwiegt, sind in Umkehrung des grundlegenden Einwilligungserfordernisses (opt-in) Datenverarbeitungen solange zulässig, wie betroffener Personen dieser nicht widersprochen haben (opt-out).
  
  Anmerkung: Wann berechtigte Interessen vorliegen und wann diese den Interessen betroffener Personen überwiegen ist in der DSGVO weder definiert noch hinreichend typisiert worden, wodurch kaum verlässliche Konkretisierungen über den Einzelfall hinaus vorgenommen werden können (vgl. noch in Bezug auf Art. 7 lit. d der alten DS-RL: Art. 29 Datenschutzgruppe, Stellungnahme 06/2014). Eine rechtssichere Verwendung dieser Rechtsgrundlage ist daher in erhöhtem Maße auf das Vorliegen spezifischer Rechtsprechung oder behördlicher Richtlinien und Anwendungshinweise angewiesen, die für Datenverarbeitungen im Gebäude- und Quartierskontext bislang kaum existieren. Insoweit sich hier für das Vorliegen eines berechtigten Interesses ausgesprochen wird, handelt es sich daher lediglich um Tendenzen, die stets im Kontext des Einzelfalls betrachtet werden müssen.
  
  Voraussetzungen von Art. 6 Abs. 1 S. 1 lit. f DSGVO:
  Eine verlässliche Konkretisierung, wann überhaupt ein "berechtigtes Interesse" vorliegt, liefert weder die DSGVO noch die Rechtsprechung des EuGH. Da die Erfordernisse der Erforderlichkeit und Güterabwägung bereits enge Anforderungen an das Vorliegen von lit. f stellen und so bereits ein hinreichendes Schutzniveau gewährleisten, sollte der Begriff des berechtigten Interesses nicht zu eng ausgelegt werden. Dadurch kann in Anbetracht der fehlenden Legaldefinition eine Bestimmbarkeit der Norm für Verantwortliche und Dritte Datenverarbeiter weiter gewährleistet werden.
  
  Hieraus ergeben sich die folgenden Konkretisierungen: (siehe für die rechtliche Herleitung die Erläuterungen)

  Relevant DSGVO norms

  

  
  
  • Die Datenverarbeitung kann auf berechtigte Interessen gestützt werden
    Relevant DSGVO norms

    

    
    
    • 1. Der Verantwortliche kann nachweisen, dass er oder ein Dritter ein berechtigtes Interesse an der Datenverarbeitung hat

      Während sich der Verarbeitungszweck (siehe Zweckspezifizierung) auf die unmittelbaren Folgen der Datenverarbeitung konzentriert (einerseits die daraus entstehenden Vorteile für den Verantwortlichen oder einen Dritten, andererseits die konkreten Risiken für die Grundrechte betroffener Personen), betrifft das berechtigte "Interesse" eher die dahinterliegende Motivation des Verantwortlichen oder Dritten, diesen Zweck überhaupt zu verfolgen. Das Interesse meint demnach das Bestreben des Verantwortlichen im weiteren Sinne oder den Nutzen, den er - oder die Gesellschaft - aus der Datenverarbeitung ziehen könnte (vgl. Art. 29 Datenschutz-Gruppe, Stellungnahme 06/2014 zum Begriff des berechtigten Interesses, S. 30f.).
      
      Insoweit der Betrieb oder die Optimierung von Anlagen im Kontext dieses Kriterienkatalogs nicht schon zur Erfüllung eines Vertrages erforderlich ist (siehe dort), lassen sich Datenverarbeitungen für diese Zwecke oft auf das berechtigte Interesse stützen, jedenfalls insoweit hierdurch keine erheblichen, für die betroffene Person unvorhersehbaren Risiken entstehen. Je wesentlicher die Datenverarbeitung für einen sicheren, nachhaltigen Betrieb einer Anlage ist, desto eher ist das Interesse des Verantwortlichen "berechtigt". Das ist z.B. typischerweise der Fall, wenn im Rahmen der Planung und dem Betrieb einer technischen Anwendung oder Anlage im Gebäude- und Quartierskontext personenbezogene Daten verarbeitet werden:
      - im Rahmen der Überwachung und Gewährleistung der Sicherheit der technischen Anlage
      - zur Überwachung der ordnungsgemäßen Funktion der technischen Anlage
      - zur technischen Optimierung der Anlage ohne Berücksichtigung des Nutzerverhaltens einzelner Personen.
      
      Anmerkung: siehe für weitere Ausführungen zur Prüfung des berechtigten Interesses die Definitionen und Erläterungen.

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • 2. Erforderlichkeit der Datenverarbeitung

      Dafür ist ebenfalls mindestens eine innere Beziehung zwischen der Datenverarbeitung und der wahrgenommenen Aufgabe notwendig (siehe für Informationen zur Durchführung einer Erforderlichkeitsprüfung bereits Erfüllung eines Vertrages).
      
      Die Verarbeitung ist typischerweise erforderlich, wenn eine ordnungsgemäße Überwachung und Optimierung der Anlage ohne Verarbeitung der personenbezogenen Daten nach dem aktuellen technischen Erkenntnisstand
      - nicht möglich ist,
      - nur eingeschränkt möglich ist
      - oder nur mit erheblich höherem Aufwand möglich wäre.

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • 3. Kein Überwiegen der Grundrechte betroffener Personen

      Zudem muss der Verantwortliche im Rahmen der Erforderlichkeitsprüfung die (zusätzlichen) Risiken benennen, die sich aus der Datenverarbeitung für die Grundrechte betroffener Personen ergibt und diese seinen berechtigten Interessen im Rahmen einer Güterabwägung gegenüberstellen. Dabei müssen seine berechtigten Interessen die Interesen (bzw. die Risiken) der betroffenen Personen überwiegen.
      
      Die Interessen des Verantwortlichen oder Dritten überwiegen jenen der betroffenen Personen typischerweise, wenn
      
      a) die betroffenen Personen mit einer solchen Verarbeitung rechnen konnten, weil
      - sie in einem Kundenverhältnis zum Verantwortlichen oder Dritten stehen
      - oder die technische Anlage eine im konkreten Kontext erwartbare Technologie darstellt: das gilt insbesondere in öffentlich zugänglichen Verwaltungs- und Bürogebäuden, eher nicht hingegen in privatem Wohnraum
      
      b) und wenn der Umfang der Datenverarbeitung und die Auswirkung auf die betroffenen Personen gering einzuschätzen ist, weil
      - technisch organisatorische Maßnahmen zur Datenminimierung getroffen wurden (z.B. Aggregation, Pseudonymisierung, Zugriffsbeschränkungen),
      - die gewährleisten, dass keine privaten Informationen offengelegt werden und auch keine anderen nachteiligen Auswirkungen auf die Grundrechte betroffene Personen eintreten (siehe die Maßnahmen im Thema Datenminimierung).

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • 4. Mitteilung der berechtigten Interessen

      Der Verantwortliche teilt den betroffenen Personen das berechtigte Interesse mit, auf welches er die Verarbeitung personenbezogener Daten stützt.
      Der Verantwortliche teilt den betroffenen Personen mit, warum seine berechtigten Interessen die Interessen (bzw. Risiken) der betroffenen Person überwiegen.
      Der Verantwortliche informiert die betroffenen Personen außerdem über ihr Recht der Datenverarbeitung gem. Art. 21 Abs. 1 S. 1 DSGVO zu widersprechen (siehe ausführlicher hierzu Transparenz).

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • 5. Der Verantwortliche ist keine öffentliche Stelle

      Öffentliche Stellen können sich aufgrund des sogenannten "Vorbehalt des Gesetzes" (ein Unterfall des Rechtsstaatesprinzips) nicht auf die Rechtsgrundlage der berechtigten Interessen berufen. Siehe zur Definition der "öffentlichen Stelle" die Definitionen und Erläuterungen.

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • 6. Kein Widerspruch (Art. 21 Abs. 1 DSGVO)

      a) Wirkung des Widerspruchs
      Die berechtigten Interessen stellen nur eine wirksame Rechtsgrundlage dar,
      - wenn die betroffene Person der Datenverarbeitung nicht widersprochen hat,
      - oder wenn der Verantwortliche trotz eines Widerspruchs der betroffenen Person zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person
      überwiegen,
      - oder wenn der Verantwortliche trotz eines Widerspruchs der betroffenen Person nachweisen kann, dass die Datenverarbeitung der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient.
      
      Liegt ein Widerspruch der betroffenen Person vor, muss der Verantwortliche die Datenverarbeitung unverzüglich einstellen. Auf die Rechtmäßigkeit der Datenverarbeitungen die vor dem Zeitpunkt des Widerspruchs vorgenommen wurden, hat der Widerspruch widerum keine Auswirkung.
      
      b) Data Protection by Design
      Die Widerspruchsmöglichkeit muss für betroffene Personen einfach zugänglich sein und ohne zusätzliche Hürden erfolgen können. Insobesondere darf sie nicht an ein Entgelt oder eine sonstige Gegenleistung der betroffenen Person geknüpft sein. Siehe ausführlicher hierzu das Widerspruchsrecht nach Art. 21 im Thema Betroffenenrechte.

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
  Relevant DSGVO norms

  

  
  

Relevant DSGVO norms

• Weiterverarbeitung (insb. zu wissenschaftlichen Forschungszwecken oder statistischen Zwecken)

  Kompatibilitätsprüfung nach Art. 6 Abs. 4 DSGVO
  Insoweit personenbezogene Daten ursprünglich für andere Zwecke erhoben wurden, kann eine Datenverarbeitung unter Umständen auch auf die ursprüngliche Rechtsgrundlage iVm Art. 6 Abs. 4 DSGVO gestützt werden, insoweit der neue Verarbeitungszweck mit dem Erhebungszweck vereinbar ist. Die Weiterverarbeitung ist vereinbar mit dem Erhebungszweck, wenn durch sie keine (erheblichen) neuen Risiken für die Grundrechte betroffener Personen verursacht werden. Dies muss die Verantwortliche nachweisen können und dabei berücksichtigen:
  
  a) die Verbindung zwischen dem Erhebungszweck und dem Zweck der Weiterverarbeitung,
  b) den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen,
  c) die Art der personenbezogenen Daten, (insbesond die Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 oder 10 DSGVO,
  d) mögliche Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen,
  e) das Vorhandensein geeigneter Garantien, wie Verschlüsselung oder Pseudonymisierung.
  
  Die Zweckvereinbarkeit wird hinsichtlich der Punkte a) - d) im Falle einer Verarbeitung für wissenschaftliche Forschungszwecke oder für statistische Zwecke vermutet:

  Relevant DSGVO norms

  

  
  
  • Die Daten können auf die Rechtsgrundlage der Datenerhebung gestützt werden, weil eine zulässige Weiterverarbeitung vorliegt (Art. 6 Abs. 4 DSGVO)
    Relevant DSGVO norms

    

    
    
    • 1.1 Kompatibilitätsvermutung für Forschungs- und statistische Zwecke (Fast Track)

      Ausweislich EG 162 S. 3 DSGVO ist ein statistischer Zweck “jeder für die Durchführung statistischer Untersuchungen und die Erstellung statistischer Ergebnisse erforderliche Vorgang der Erhebung und Verarbeitung personenbezogener Daten" (siehe bereits Zweckspezifizierung).
      
      a) Ergebnis der Datenverarbeitung müssen aggregierte Daten sein
      Das Ergebnis der statistischen Verarbeitung der Daten darf gem. EG 162 S. 5 DSGVO “keine personenbezogenen Daten, sondern [nur] aggregierte Daten” enthalten. Dabei spricht einiges dafür, dass hier in Bezug auf "personenbezogene Daten" ein anderer Maßstab gemeint ist, als bei der Bestimmung des Anwendungsbereichs der DSGVO. Anders als im Rahmen von Art. 2 Abs. 1 DSGVO muss der Verantwortliche bei der Verfolgung statistischer Zwecke nicht nachweisen können, dass die Daten unwiderruflich anonymisiert wurden. EG 162 S. 5 addressiert damit den Fall des “unmittelbaren” Personenbezugs (so wohl auch Hense in: Sydow/Marsch, § 27 BDSG, Rn. 11 sowie Pauly in: Paal/Pauly, § 27 BDSG, Rn. 5.). Der Zieldatensatz darf demnach weder Informationen enthalten, die vom Schutz des Privatlebens umfasst sind (Inhaltselement - siehe oben "Personenbezug der Daten"), noch darf der Verantwortliche den finalen Datensatz dazu verwenden Einzelpersonen zu re-identifizieren oder iSv. EG 162 S. 5 HS 2 zu bewerten und zu beeinflussen (dann wäre ebenfalls wieder das Zweckelement einschlägig).
      
      b) Sind auch wirtschaftliche oder nur öffentliche statistische Zwecke umfasst?
      Es ist umstritten, ob die Ausnahmen für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke auch kommerzielle, privatwirtschaftliche Zwecke umfassen.
      Eine Auffassung: Nach einer Auffassung bezieht sich entgegen des Wortlautes von Art. 89 Abs. 1 und Art. 5 Abs. 1 lit. b DSGVO die Anforderung des "öffentlichen Interesses" auch alle dort aufgelisteten Zwecke. Bei sämtlichen Zwecksetzungen des Art. 89 ließe sich eine Privilegierung mit Blick auf die damit verbundenen Grundrechtsbeschränkungen für betroffene Personen nur mit dem überwiegenden Interessen der Allgemeinheit rechtfertigen (vgl. z.B. Buchner/Tinnefeld in: Kühling/Buchner, Art. 89 DSGVO, Rn. 15a).
      Andere Auffassung: Nach einer anderen Auffassung bezieht sich die Anforderung des "öffentlichen Interesses" nur auf Archivzwecke, womit auch kommerzielle statistische Zwecke vom Privileg des Art. 5 Abs. 1 lit. b. DSGVO umfasst sind.
      
      Stellungnahme: Nach dem Wortlaut des Art. 5 sowie des Art. 89 DSGVO bezieht sich die Anforderung des öffentlichen Interesses eindeutig auf die Archivzwecke (so auch Koch in: Wolff/Brink/v. Ungern-Sternberg, §27 BDSG Rn. 26). Eine Umdeutung dieses Wortlauts ergibt sich auch nicht aus dem Schutzbedürfnis der Betroffenen, da aus der statistischen Aggregation der Daten lediglich eine Reduzierung der Risiken für die Grundrechte Betroffener resultiert. Dieses Ergebnis wird durch entsprechende technisch-organisatorische Maßnahmen abgesichert und erfüllt damit das Gebot der Datensparsamkeit und Datenminimierung. Die an mehreren Stellen in der DSGVO auftauchenden Priviliegierungen für statistische Zwecke setzt einen erheblichen Anreiz für private wie öffentliche Stellen, Daten zügig zu aggregieren und auf die Vorhaltung von Mikrodaten zu verzichten. Sind die Maßnahmen des Verantwortlichen nicht ausreichend, um die Grundrechte des Betroffenen zu schützen, kann sich dieser auch nicht auf die Privilegierung berufen und setzt sich damit der erheblichen Gefahr datenschutzrechtlicher Sanktionierung aus.

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • 1.2 Nachweis geeigneter Garantien

      Im Fall einer Privilegierung muss der Verantwortliche geeignete Garantien für die Rechte und Freiheiten der betroffenen Person gem. Art. 89 Abs. 1 DSGVO nachweisen können. Die geeigneten Garantien fungieren dabei als Ausgleich für die zusätzlichen Risiken, die durch die Weiterverarbeitung für die Grundrechte betroffener Personen entstehen. Diese Risikoreduzierung erfolgt insbesondere durch Maßnahmen der Datenminimierung, wie Pseudonymisierung und Anonymisierung. Weiterführende Konkretisieredungen sind daher im Thema Datenminimierung zu finden (siehe dort).
      
      a) Beispiel: Pseudonymisierung
      Der Verantwortliche entfernt alle direkten Identifikatoren oder ersetzt sie durch Pseudonyme - auch De-Identifizierung genannt (siehe ausführlicher beim Thema Datenminimierung).
      
      b) Beispiel: Anonymisierung
      Der Verantwortliche verändert den Datensatz durch technische Verfahren so weitgehend, das eine Re-Identifizierung betroffener Personen nicht mehr erfolgen kann. Dabei kommen unterschiedlichste Maßnahmen in Betracht, wie z.B. De-Identifizierung, Daten-Aggregation oder das Einführen statistischer Unsicherheiten durch Verrauschen des Datensatzes (siehe hierzu Ausführer.
      
      a) Beispiel: Datenminimierung über Rollenkonzept:
      Für die Durchführung der Datenanalyse wird ein Rollenkonzept bereitgestellt, das dem/der DatenanlystIn keinen Zugriff auf die Rohdaten gewährt, sondern lediglich die Abfrage statistischer Analyseergebnisse über eine SQL-Maske ermöglicht.
      
      aa) Die Datenanalyse erfolgt ohne unmittelbaren Rohdatenzugriff mit einer SQL-Maske, über die nur Datenschemata und Datentypen eingesehen werden können. Der Datenanalystin werden damit nur die aggregierten Analyseergebnisse ausgegeben.
      
      bb) Die Datenabfrage erfolgt mit k-Anonymität k=9. Insofern für ein nutzbares Analyseergebnis ein geringeres k erforderlich ist, müssen zusätzliche Maßnahmen implementiert werden, die eine Re-Identifikation von Personen verhindern (siehe 11.2 (Alt. 2)).
      
      cc) Die Datenanlystin wird (entsprechend aa) und bb)) vertraglich auf die Zwecke der statistischen Analyse durch Aggregation beschränkt und dazu verpflichtet keine Quasi-Identifiern aus dem Datensatz zu entnehmen.
      
      dd) Die vertraglichen Verpflichtungen werden durch Logging der Datenabfragen des/der Daten-AnalystIn und Skizzierung der Erwägungen für die Abfragen abgesichert. Eine Einhaltung der Pflichten kann dann im Rahmen des Überwachungsverfahrens durch Stichproben erfolgen.

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
  Relevant DSGVO norms

  

  
  

Relevant DSGVO norms

• Definitionen und Erläuterungen

  Wenn du Fragen zu einzelnen rechtlichen Begrifflichkeiten hast, findest Du hier weitere Informationen.

  Relevant DSGVO norms

  

  
  
  • Übertragung einer Aufgabe im öffentlichen Interesse

    Muss in der Aufgabenzuweisungsnorm der konkrete Zweck der Datenverarbeitung genannt sein?
    Es ist umstritten, ob im Rahmen der 1. Alternative von Art. 6 Abs. 1 lit. e DSGVO (öffentliches Interesse) erforderlichen Aufgabenzuweisungsnorm (Rechtsgrundlage) gem. Art. 6 Abs. 3 S. 2 DSGVO einen konkreten Zweck enthalten muss (sog. datenverarbeitungsbezogenen RGL), oder ob eine allgemeine Zuweisung der Zuständigkeit genügt.
    
    (1) Eine Auffassung
    Eine Ansicht fordert eine datenverarbeitungsbezogene Rechtsgrundlage. Die bloße Festlegung einer sachlichen Aufgabe oder eines sachlichen Aufgaben/Befugnis-Zusammenhanges genügt hiernach nicht für eine Rechtsgrundlage. Der Zweck der Datenverarbeitung muss hiernach in der RGL genannt (vgl. Heberlein in: Ehmann/Selmayr, Art. 6 DSGVO Rn. 20) und zumindest irgendwie mit der übertragenen Aufgabe "verklammert" sein. Als Mindestanforderung für die Zweckspezifizierung wird hier zumindest die "Wahrnehmung oder Erfüllung" der übertragenen Aufgabe gefordert (siehe Albers/Veit in: Wolff/Brink/v. Ungern-Sternberg, Art. 6 DSGVO Rn. 57).
    
    (2) Zweite Auffassung
    Gegen eine solche Zweckfestlegung in der Rechtsgrundlage spricht der eindeutige Wortlaut des Art. 6 III 2 DSGVO. Hiernach muss der Zweck der Verarbeitung in dieser Rechtsgrundlage festgelegt "oder hinsichtlich der Verarbeitung gemäß Absatz 1 Buchstabe e für die Erfüllung einer Aufgabe erforderlich sein", womit das Erfordernis einer Rechtsgrundlage eine alternative Anforderung zum Nachweis der Erforderlichkeit der Datenverarbeitung darstellt.
    
    (3) Vermittelnde Auffassung und Stellungnahme:
    In Ansehung des eindeutigen Wortlauts des Art. 6 III 2 DSGVO wäre jedenfalls das Erfordernis einer konkreten Zweckbestimmung in der Aufgabenzuweisungsnorm eine Auslegung contra legem. Gleichsam gebietet das grundsätzliche Verarbeitungsverbot der DSGVO in Verbindung mit dem datenschutzrechtliche Zweckbindungsgebot (Art. 5 I lit. b DSGVO - "festgelegte" und "eindeutige" Zwecke), eine Verklammerung von Rechtsgrundlage und Zweck, sodass eine bloße Aufgabenzuweisung keine Ausnahme von diesem Verarbeitungsverbot des begründen kann. Die erste Auffassung übersieht jedoch, dass eine solche Verklammerung von Rechtsgrundlage und Zweck gerade durch das Gebot der Erforderlichkeit hergestellt wird. Auch wenn in der Rechtsgrundlage mithin nicht ausdrücklich die "Wahrnehmung oder Erfüllung" der Aufgabe genannt ist, so ergibt sich diese Verknüpfung durch das Prüfung der Erforderlichkeit. Insoweit eine Datenverarbeitung für die Erfüllung einer Aufgabe erforderlich ist erfolgt sie notwendigerweise auch in "Wahrnehmung und Erfüllung" dieser Aufgabe. Die Nennung eines Zwecks ist mithin in der Ausgabenzuweisungsnorm nicht geboten, insoweit die Verarbeitung für die Wahrnehmung der Aufgabe zumindest erforderlich ist.

    Relevant DSGVO norms

    

    
    
  Relevant DSGVO norms

  

  
  
  • Verarbeitung durch "öffentliche Stellen"

    Wer kann sich auf § 3 BDSG berufen?
    Auf § 3 BDSG können sich nur öffentliche Stellen und Beliehene berufen, keine privatrechtlichen Personen, die öffentliche Aufgaben wahrnehmen!
    - Unter öffentliche Stellen fallen Behörden, Einrichtungen und sonstige Stellen des Landes, die Gemeinden und Gemeindeverbände sowie für die sonstigen der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts und deren Vereinigungen, ungeachtet ihrer Rechtsform (vgl. §5 DSG NRW - Rechtgrundlage wäre vorbehaltlich geeigneter Schutzmaßnahmen im Fall Nordrhein-Westfalen: Art. 6 Abs. 1 S. 1 lit. e DSGVO iVm. Art. 17 Abs. 1 DSG NRW)
    - Für Landes- und Kommunalbehörden ist § 3 BDSG nur anwendbar, insoweit die Anforderungen von § 1 Abs. 1 BDSG erfüllt sind, also wenn der Datenschutz nicht durch Landesgesetz geregelt ist und die Behörden Bundesrecht ausführen.

    Relevant DSGVO norms

    

    
    
  Relevant DSGVO norms

  

  
  
  • Die Prüfung "berechtigter Interessen"

    1. Wann sind Interessen "berechtigt"?
    Eine verlässliche Konkretisierung, wann ein Interesse "berechtigt" ist, liefert der EuGH nicht. Da die Erfordernisse der Erforderlichkeit und Güterabwägung bereits enge Anforderungen an das Vorliegen von lit. f stellen und so bereits ein hinreichendes Schutzniveau gewährleisten, sollte der Begriff des berechtigten Interesses nicht zu eng ausgelegt werden. Dadurch kann in Anbetracht der fehlenden Legaldefinition eine Bestimmbarkeit der Norm für Verantwortliche und Dritte Datenverarbeiter weiter gewährleistet werden.
    
    a) Konkretisierung
    - Nicht jeder Verarbeitungszeck begründet automatisch ein berechtigtes Interesse (vgl. OLG Köln Urt. v. 14.8.2009 – Az. 6U7009 Rn. 14, https://rewis.io/s/u/DpJ/)
    - umfasst sind rechtliche, wirtschaftliche und ideelle Interessen (vgl. Albers/Veit in: Wolff/Brink/v. Ungern-Sternberg, Art. 6 DSGVO Rn. 68).
    - beachte auch die Mitteilungspflicht der berechtigten interessen an die Betroffenen gem. Art. 13 Abs. 1 Buchst. d DSGVO (siehe Transparenz)
    
    b) Beispiele für berechtigte Interessen:
    - Gewährleistung der Netz- und Informationssicherheit (vgl. EG 41 DSGVO)
    - unbedingt erforderlich für die Verhinderung von Betrug (EG 47 S. 6 DSGVO)
    - maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen (insb. Kundenbeziehung) (EG 47 S. 2 DSGVO)
    - Direktwerbung (EG 47 S. 7 DSGVO)
    - Unternehmensinterne Verarbeitung von Kunden- und Beschäftigtendaten (vgl. EG 48 DSGVO)
    - Die Datenverarbeitung entspricht den vernünftigen Erwartungen betroffener Personen - EuGH, Urt. v. 4. Juli 2023, C‑252/21 (ECLI:EU:C:2023:537) Rn. 112,116. (die Vorhersehbarkeit der Verarbeitung spricht allgemein eher für das Vorliegen berechtigter Interessen (EG 47 S. 3 und 4 DSGVO) --> der EuGH stellt hier auf vernünftige Erwartungen spricht
    
    c) Betrieb und Betriebsoptimierung als berechtigtes Interesse
    Der EuGH hat sich im Rahmen des Urteils Meta/Facebook v. Bundeskartellamt/Verbraucherzentrale vom 4. Juli 2023, C‑252/21 (ECLI:EU:C:2023:537) mit der Frage auseinandergesetzt ob das Ziel der Produktverbesserung als berechtigtes Interesse im Sinne von Art. 6 Abs. 1 S. 1 lit. e DSGVO aufgefasst werden kann. Der Gerichtshof zieht hier folgenden Rahmen:
    
    - die Verbesserung von Produkten und Dienstleistungen kann ein berechtigtes Interesse in diesem Sinne darstellen (vgl. Rn. 122)
    - eine Verarbeitung personenbezogener Daten kann für dieses Interesse erforderlich sein (vgl. Rn. 122)
    
    Beispiel: Nimmt der Kreis betroffener Personen (z.B. die Bewohner eines Einfamilienhauses) eine Dienstleistung des Verantwortlichen in Anspruch oder nutzen sie ein Produkt des Verantwortlichen (z.B. eine technische Anwendung zur automatisierte Raumbelüftung), können diese Personen davon ausgehen, dass im Rahmen dieser Anwendung zumindest in einem gewissen Ausmaß Daten verarbeitet werden. Insoweit eine solche Erwartungshaltung besteht, darf auch angenommen werden, dass der Anbieter eines solchen Dienstes oder Produktes gewährleisten möchte, dass das Produkt ordnungsgemäß funktioniert. Die Verarbeitung technischer Daten für Zwecke der Produktüberwachung und Produktverbesserung dürften insoweit ein berechtigtes Interesse des Verantwortlichen (oder eines Dritten Diensteanbieters) begründen.
    
    2. Erforderlichkeit der Datenverarbeitung für die Wahrnehmung dieser Interessen
    Hier ist zu prüfen, ob das berechtigte Interesse an der Verarbeitung der Daten nicht in zumutbarer Weise ebenso wirksam mit anderen Mitteln erreicht werden kann, die weniger stark in die Grundrechte und Grundfreiheiten der betroffenen Personen eingreifen (insb. Art. 7 und 8 GRCH), so EuGH, Urt. v. 4. Juli 2023, C‑252/21 (ECLI:EU:C:2023:537) Rn. 108).
    
    3. Überwiegen der berechtigten Interessen
    - Ein Überwiegen der Interessen ist in erheblichem Maße von einer Güterabwägung im konkreten Fall abhängig und bestimmt sich nach der vernünftigen Erwartungshaltung, dem Umfang der fraglichen Verarbeitung und deren Auswirkungen auf die betroffene Person (vgl. EuGH, Urt. v. 4. Juli 2023, C‑252/21 (ECLI:EU:C:2023:537) Rn. 116, 123, 126).
    - Die betroffene Person kann je eher mit einer Verarbeitung rechnen, desto weniger invasiv die Datenverarbeitung ist (oder anders gesagt: je weniger Risiken mit der Verarbeitung der Daten für die Betroffenen verbunden sind) vgl. Rn. 118.
    
    Beispiel für Beeinträchtigung des Privatlebens (Art. 7 GRCh)
    Insbesondere im Kontext der Privatwohnung kann abhängig vom Informationsgehalt der Daten sogar der Kernbereich des Privatlebens berührt sein - und zwar immer dann, wenn auf Grundlage der Daten auch Informationen über das Verhalten der Bewohner in ihrem geschützten Wohnraum offengelegt werden könnten). Wenn durch eine sorgfältige Berücksichtigung dieser Risiken die Messfrequenz entsprechend eingestellt wurde oder Daten vor ihrer Übermittlung bereits hinreichend statistisch aggregiert wurden, kann das Risiko für die betroffenen Personen hingegen so reduziert werden, dass die Interessen des Verantwortlichen hier überwiegen (vgl. hierzu auch die TOM im Rahmen der Datenminimierung).

    Relevant DSGVO norms

    

    
    
  Relevant DSGVO norms

  

  
  

Relevant DSGVO norms

Zweckbindung und Zweckbegrenzung

Art. 4 Abs. 1 S. 9, Art. 5 Abs. 1 lit. b, c, e, Art. 5 Abs. 2, Art. 6 Abs. 1 lit. a, Art. 25 Abs. 1, Art. 12 Abs. 1, Art. 13 Abs. 1 lit. c, Art. 30 Abs. 1 lit. b, Art. 32 DSGVO

Kurz & bündig: Die Datenverarbeitung wahrt das Prinzip der Zweckbindung

Relevant DSGVO norms

• Zusammenfassung

  Um das Prinzip der Zweckbegrenzung zu wahren muss der Verantwortliche gem. Art. 5 Abs. 1 lit. b DSGVO gewährleisten, dass personenbezogene Daten nur in einer Weise verarbeitet werden, die mit den im Zeitpunkt der Datenerhebung spezifizierten Zwecken vereinbar sind (siehe Zweckspezifizierung). Dabei sind nicht alle vom ursprünglichen Zweck abweichende Datenverarbeitungen generell unzulässig, sondern nur solche Datenverarbeitungen, die mit dem ursprünglichen Erhebungszweck nicht kompatibel sind. Insoweit spricht man auch von Zweckkompatibilität.
  
  Die DSGVO sieht dabei selbst mehrere Fälle vor, in denen eine Weiterverarbeitung als mit dem Erhebungszweck vereinbar erachtet wird.

  Relevant DSGVO norms

  

  
  

Relevant DSGVO norms

• Alt. 1 Keine Weiterverarbeitung

  Unproblematisch sind Fälle, in denen die fraglichen Daten unmittelbar für den ausdrücklich spezifizierten Primärzweck der Datenerhebung verarbeitet werden (siehe Zweckspezifizierung).
  
  Besonderheit: Präzisierung der Zwecke
  Es liegt nicht bereits eine Weiterverarbeitung von Daten vor, wenn der Verantwortliche den Zweck der Daten nach der Datenerhebung präzisiert, weil im Zeitpunkt der Datenerhebung nicht bereits alle Parameter bekannt waren, z.B. weil in der Planungsphase bereits personenbezogene Daten erhoben werden müssen. Eine Präzisierung des Zwecks liegt jedoch nur vor, wenn die durch den zunächst allgemeiner formulierten Zweck bereits alle konkreten Risiken für die Grundrechte des Betroffenen erkennbar waren und durch die Präzisierung keine neuen Risiken entstehen.
  Beispiel: Werden Daten für die gebäudescharfe Prognose des Energieverbrauchs eines MFH erhoben, ist die Datenverarbeitung zur Prognose des Energieverbrauchs einzelner Wohneinheiten als relevante Zweckänderung zu bewerten, da hierdurch zusätzliche Einblicke in das Privatleben der Bewohner*innen entstehen.

  Relevant DSGVO norms

  

  
  

Relevant DSGVO norms

• Alt. 2 Die Weiterverarbeitung der Daten ist kompatibel mit dem Primärzweck

  Für die Weiterverarbeitung von Daten sieht die DSGVO mehrere Ausnahmen vor:

  Relevant DSGVO norms

  

  
  
  • 1. Privilegierte Weiterverarbeitungen nach Art. 5 Abs. 1 lit. b Hs. 2 DSGVO

    Die Weiterverarbeitung gilt gemäß Art. 5 Abs. 1 lit. b Hs. 2 DSGVO als vereinbar mit dem Erhebungszweck, wenn die Daten für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke verarbeitet werden.
    
    a) Im öff. Interesse liegende Archivzwecke
    Dieser Ausnahme kommt für Datenverarbeitungen im Gebäude- und Quartiersbereich geringe Relevanz zu, da lediglich solche Daten umfasst sind, die Aufzeichnungen von bleibendem Wert für das allgemeine öffentliche Interesse darstellen, wie z.B. "spezifischer Informationen im Zusammenhang mit dem politischen Verhalten unter ehemaligen totalitären Regimen, Völkermord, Verbrechen gegen die Menschlichkeit, insbesondere dem Holocaust, und Kriegsverbrechen" - EG. 158 S. 3 DSGVO.
    
    b) Wissenschaftliche Forschungszwecke (oder historische Forschungszwecke) privater oder öffentlicher Stellen
    Die Ausnahme für wissenschaftliche Forschunsgzweck kommt insbesondere in Betracht, wenn im Rahmen eines Projektes Erkenntnisse der Datenverarbeitungen mit der Öffentlichkeit geteilt werden sollen. Auch kommerzielle privatwirtschaftliche Zwecke sind dabei von der Ausnahme umfasst. Zentrale Voraussetzung ist dabei, dass sich die Tätigkeit an wissenschaftlichen Methoden und Standards orientiert und Ergebnisse oder Methoden zumindest in großen Teilen für die Allgemeinheit transparent gemacht werden. Eine Offenlegung aller Ergebnisse ist hierfür jedoch nicht erforderlich, womit die Verfolgung wissenschaftlicher Forschungszwecke auch mit der gleichzeitigen Wahrung essentieller Geschäftsgeheimnisse vereinbart werden kann. Die Entwicklung und Optimierung von unternehmenseigenen Produkten oder Modellen kann damit für die Ausnahme der wissenschaftlichen Forschung in Betracht kommen, insofern zumindest ein Teil der Erkenntnisse mit der Allgemeinheit geteilt wird. Denkbar sind z.B.:
    - die Verbesserung von Modellen
    - das Monitoring und die Optimierung technischer Anlagen
    - die Entwicklung und Testung neuer Produkte
    - die Ermittlung von Energie-Einsparpotenzialen
    - die Bereitsstellung von Daten an die Allgemeinheit (siehe hierfür aber "Daten Teilen")
    
    c) Statistische Zwecke
    Statistische Zwecke liegen unter den folgenden Voraussetzungen vor (für mehr Informationen siehe Definitionen und Erläuterungen):
    
    aa) Mit der Datenverarbeitung werden mittels statistischer Methoden statistische Erkenntnisse erlangt
    Das liegt insbesondere vor bei einer gebäude- oder quartiersübergreifenden Daten-Aggregation zu Analysezwecken, wie z.B:
    - der Nutzung bestimmter (Kategorien von) Technologien,
    - des durchschnittlichen Energieverbrauchs (Wärme, Kälte, Elektrizität),
    - des zu erwartenden zukünftigen Energieverbrauchs (Prognose)
    - bestimmten Gebäudeeigenschaften, wie Gebäudealtersklassen, U-Werte etc.)
    - auch: aggregierte Nutzerkategorien / Geschmacksprofile und aggregiertes Nutzendenfeedback (siehe hierfür aber den zweiten Kriterienkatalog "Profilbildung und Personalisierung" (aktuell in Erstellung)
    
    Statistische Zwecke liegen nicht vor, wenn sich die aggregierten Daten weiterhin unmittelbar auf herausgreifbare Einzelpersonen beziehen. Das Ergebnis des Aggregationsvorgangs ist demnach keine statistische Erkenntnis, wenn der tägliche Energieverbrauch eines EFH auf Jahresebene zusammengefasst wird (z.B. zur Prognose des gebäudespezifischen Energieverbrauchs), da es sich bei dieser Information weiterhin um personenbezogene Daten handelt (siehe Erläuterungen und bereits A. Eröffnung des Anwendungsbereichs der DSGVO). Insbesondere bei dem zusammengefassten Energieverbrauch von Verwaltungsgebäuden, großen MFH (z.B. 10 oder mehr Wohneinheiten), einer Straße oder eines Quartiers, kann die Aggregation der Daten aber bereits zu statistischen Erkenntnissen führen, womit die
    Ausnahme des Art. 5 Abs. 1 lit. b Hs. 2 DSGVO einschlägig ist.
    
    cc) Die Datenverarbeitung erfolgt zu öffentlichen oder wirtschaftlichen Zwecken
    Ob neben öffentlichen auch wirtschaftliche statistische Zwecke umfasst sind, ist noch nicht abschließend geklärt. Siehe eine Stellungnahme hierzu in "Definitionen und Erläuterungen".

    Relevant DSGVO norms

    

    
    
  Relevant DSGVO norms

  

  
  
  • 2. Ausnahme nach Art. 6 Abs. 4 Alt. 1 DSGVO - Einwilligung

    Wird die Weiterverarbeitung der Daten auf eine Einwilligung gestützt (siehe RGL) gilt die Datenverarbeitung insoweit als kompatibel mit dem Erhebungszweck.

    Relevant DSGVO norms

    

    
    
  Relevant DSGVO norms

  

  
  
  • 3. Ausnahme nach Art. 6 Abs. 4 Alt. 1 DSGVO - Rechtsvorschrift der Union oder Mitgliedstaaten

    - Allgemeine Rechtsvorschriften der Union oder der Mitgliedsstaaten sind hier zunächst nicht ersichtlich, können aber in einem konkreten Anwendungsfall vorliegen.
    - Der nationaler Gesetzgeber hat für solche Ermächtigungen Regelungskompetenz im öffentlichen und privatwirtschaftlichen Sektor (BGH, Beschl. v. 24.9.2019 – VI ZB 39/18, Rn. 35 ff.,).

    Relevant DSGVO norms

    

    
    
  Relevant DSGVO norms

  

  
  
  • 4. oder RGL der Weiterverarbeitung = andere RGL

    a) Die Weiterverarbeitung wird auf eine eigene RGL gestützt, oder auf die ursprüngliche RGL der Datenerhebung iVm. Art. 6 Abs. 4 DSGVO - siehe zur Weiterverarbeitung nach Art. 6 Abs. 4 DSGVO ausführlich im Thema Rechtäßigkeit.
    
    b) und die Zweckkompatibiltät ist gewahrt - Anforderungen des Art. 6 Abs. 4 lit. a - e DSGVO
    Zur Feststellung, ob Zwecke einer Weiterverarbeitung mit dem Primärzweck vereinbar sind, gibt der Verordnungsgeber verschiedene Anhaltspunkte vor, wie
    aa) jede Verbindung zwischen den Primärzwecken und den Zwecken der Weiterverarbeitung (Stellt sich die Weiterverarbeitung als logischer nächster Schritt zum Primärzweck dar?)
    bb) das Verhältnis von Verantwortlichem und Betroffenem im konkreten Kontext (Womit konnte eine durchschnittliche Person im konkreten Kontext rechnen?)
    cc) ein besonderes Schutzbedürfnis der Daten (Sind die Daten besonders sensibel - z.B: iSv. Art. 9 Abs. 1 DSGVO?)
    dd) die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen,
    ee) das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann.
    
    c) und insofern die DV auf die RGL der Datenerhebung gestützt wird, ist diese auch tatsächlich einschlägig (summarische Prüfung - siehe Alt. 1)

    Relevant DSGVO norms

    

    
    
  Relevant DSGVO norms

  

  
  

Relevant DSGVO norms

• Definitionen und Erläuterungen

  Wenn du Fragen zu einzelnen rechtlichen Begrifflichkeiten hast, findest Du hier weitere Informationen.

  Relevant DSGVO norms

  

  
  
  • Wissenschaftliche Forschungszwecke

    Gem. EG 159 S. 2 war es Wille des Verordnungsgebers die Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken im Sinne dieser Verordnung weit auszulegen und "die Verarbeitung für beispielsweise die technologische Entwicklung und die Demonstration, die Grundlagenforschung, die angewandte Forschung und die privat finanzierte Forschung einschließen". Auch kommerzielle privatwirtschaftliche Zwecke sind daher von der Ausnahme umfasst. Zentral ist dabei, dass sich die Tätigkeit an wissenschaftlichen Methoden und Standards orientiert und zumindest in einem gewissen Ausmaß Ergebnisse oder Methoden für die Allgemeinheit transparent gemacht werden (vgl. so auch Caspar in: Simitis/Hornung/Spiecker gen. Döhmann, Art. 89 DSGVO Rn. 16). Eine Offenlegung aller Ergebnisse ist hierfür jedoch nicht erforderlich, womit auch z.B. die Optimierung von unternehmenseigenen Produkten oder Modellen für die Ausnahme der wissenschaftlichen Forschung in Betracht kommt.

    Relevant DSGVO norms

    

    
    
  Relevant DSGVO norms

  

  
  
  • Statistische Zwecke

    Ausweislich EG 162 S. 3 DSGVO ist ein statistischer Zweck “jeder für die Durchführung statistischer Untersuchungen und die Erstellung statistischer Ergebnisse erforderliche Vorgang der Erhebung und Verarbeitung personenbezogener Daten".
    
    a) Ergebnis der Datenverarbeitung müssen aggregierte Daten sein
    Das Ergebnis der statistischen Verarbeitung der Daten darf gem. EG 162 S. 5 DSGVO “keine personenbezogenen Daten, sondern [nur] aggregierte Daten” enthalten. Dabei spricht einiges dafür, dass hier in Bezug auf "personenbezogene Daten" ein anderer Maßstab gemeint ist, als bei der Bestimmung des Anwendungsbereichs der DSGVO. Anders als im Rahmen von Art. 2 Abs. 1 DSGVO muss der Verantwortliche bei der Verfolgung statistischer Zwecke nicht nachweisen können, dass die Daten unwiderruflich anonymisiert wurden. addressiert damit den Fall des “unmittelbaren” Personenbezugs (so wohl auch Hense in: Sydow/Marsch, § 27 BDSG, Rn. 11 sowie Pauly in: Paal/Pauly, § 27 BDSG, Rn. 5.). Der Zieldatensatz darf demnach weder Informationen enthalten, die vom Schutz des Privatlebens umfasst sind (Inhaltselement - siehe oben "Personenbezug der Daten"), noch darf der Verantwortliche den finalen Datensatz dazu verwenden Einzelpersonen zu re-identifizieren oder iSv. EG 162 S. 5 HS 2 zu bewerten und zu beeinflussen (dann wäre ebenfalls wieder das Zweckelement einschlägig).
    
    b) Sind auch wirtschaftliche oder nur öffentliche statistische Zwecke umfasst?
    Es ist umstritten, ob die Ausnahmen für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke auch kommerzielle, privatwirtschaftliche Zwecke umfassen.
    Eine Auffassung: Nach einer Auffassung bezieht sich entgegen des Wortlautes von Art. 89 Abs. 1 und Art. 5 Abs. 1 lit. b DSGVO die Anforderung des "öffentlichen Interesses" auch alle dort aufgelisteten Zwecke. Bei sämtlichen Zwecksetzungen des Art. 89 ließe sich eine Privilegierung mit Blick auf die damit verbundenen Grundrechtsbeschränkungen für betroffene Personen nur mit dem überwiegenden Interessen der Allgemeinheit rechtfertigen (vgl. z.B. Buchner/Tinnefeld in: Kühling/Buchner, Art. 89 DSGVO, Rn. 15a).
    Andere Auffassung: Nach einer anderen Auffassung bezieht sich die Anforderung des "öffentlichen Interesses" nur auf Archivzwecke, womit auch kommerzielle statistische Zwecke vom Privileg des Art. 5 Abs. 1 lit. b. umfasst sind.
    
    Stellungnahme: Nach dem Wortlaut des Art. 5 sowie des Art. 89 DSGVO bezieht sich die Anforderung des öffentlichen Interesses eindeutig auf die Archivzwecke (so auch Koch in: Wolff/Brink/v. Ungern-Sternberg, §27 BDSG Rn. 26). Eine Umdeutung dieses Wortlauts ergibt sich auch nicht aus dem Schutzbedürfnis der Betroffenen, da aus der statistischen Aggregation der Daten lediglich eine Reduzierung der Risiken für die Grundrechte Betroffener resultiert. Dieses Ergebnis wird durch entsprechende technisch-organisatorische Maßnahmen abgesichert und erfüllt damit das Gebot der Datensparsamkeit und Datenminimierung. Die an mehreren Stellen in der DSGVO auftauchenden Priviliegierungen für statistische Zwecke setzt einen erheblichen Anreiz für private wie öffentliche Stellen, Daten zügig zu aggregieren und auf die Vorhaltung von Mikrodaten zu verzichten. Sind die Maßnahmen des Verantwortlichen nicht ausreichend, um die Grundrechte des Betroffenen zu schützen, kann sich dieser auch nicht auf die Privilegierung berufen und setzt sich damit der erheblichen Gefahr datenschutzrechtlicher Sanktionierung aus.

    Relevant DSGVO norms

    

    
    
  Relevant DSGVO norms

  

  
  

Relevant DSGVO norms

Transparenz

Art. 12, Art. 13, Art. 5 Abs. 1 lit. a, Art. 5 Abs. 2, Art. 24 Abs. 1 DSGVO

Kurz & bündig: Der Verantwortliche erfüllt gegenüber den betroffenen Personen alle gesetzlichen Informationspflichten

Relevant DSGVO norms

• Festlegung der Informationspflichten

  Der Verantwortliche muss die Erfüllung sämtlicher Transparenzverpflichtung gegenüber den betroffenen Personen sicherstellen. Dazu legt er zunächst fest, welchen Transparenzpflichten er überhaupt unterliegt und auf welche Ausnahmen vom Transparenzgebot er sich beruft:

  Relevant DSGVO norms

  

  
  
  • Der Verantwortliche bestimmt, welche Informationspflichen er erfüllen muss
    Relevant DSGVO norms

    

    
    
    • 1. Die betroffene Person verfügt bereits über die Information

      Gem. Art. 13 Abs. 4, Art. 14 Abs. 5 lit. a DSGVO entfällt die Informationspflicht des Verantwortlichen, wenn die Betroffene Person bereits über diese Informationen verfügt.

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • 2. Datenerhebung aus anderen Datenquellen

      Werden die Daten nicht bei der betroffenen Person selbst, sondern einer dritten Person oder Datenquelle erhoben, entfallen die Informationspflichten ebenfalls in den folgenden Fällen:
      
      a) Unmöglichkeit oder Unverhältnismäßigkeit
      Die Informationserteilung ist dem Verantwortlichen unmöglich oder erfordert einen unverhältnismäßigen Aufwand.
      Beispiel: der Verantwortliche weiß nicht, wer die betroffene Person ist, weil er nicht über Mittel verfügt, um die Person zu identifizieren.
      
      b) Archiv-, Forschungs- oder statistische Zwecke
      Es liegen im öff. Interesse liegenden Archivzwecke, wiss./hist. Forschungszwecke oder statistische Zwecke vor (siehe Zweckspezifizierung)
      - und diese würden durch die Informationserteilung unmöglich macht oder ernsthaft beeinträchtigt
      - und es werde die Bedingungen und Garantien des Art. 89 Abs. 1 DSGVO gewährleistet
      - und es existieren geeignete (alternative) Schutzmaßnahmen für die Rechte und Freiheiten sowie berechtigten Interessen der betroffenen Person
      - insb. werden die Informationen für die Öffentlichkeit zugänglich gemacht
      
      Eine derartige Ausnahme liegt in den vorliegenden Szenarien üblicherweise nicht vor und müsste durch den Verantwortlichen gut begründet und dokumentiert werden.
      
      c) die Datenerlangung ist durch das Recht der EU/Mitgliedsstaaten geregelt und regelt bereits ausdrücklich geeignete Maßnahmen zum Schutz der berechtigten Interessen, denen der Verantwortliche unterliegt Beispiel?
      
      d) die Daten unterliegen im Recht der EU/Mitgliedsstaaten dem Berufsgeheimnis, einschließlich einer satzungsmäßigen Geheimhaltungspflicht, und müssen daher vertraulich behandelt werden.

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
  Relevant DSGVO norms

  

  
  

Relevant DSGVO norms

• Inhalt der Informationspflichten

  Der Verantwortliche muss den vollen Umfang der Informationspflichten gewährleisten. Dabei ergeben sich Unterschiede abhängig davon, ob die personenbezogenen Daten direkt bei der betroffenen Person erhoben wurden oder aus einer Dritten Datenquelle stammen:

  Relevant DSGVO norms

  

  
  
  • Der Verantwortliche stellt den betroffenen Personen alle relevanten Informationen über die Datenverarbeitung zur Verfügung
    Relevant DSGVO norms

    

    
    
    • 1. Der Verantwortliche macht den betroffenen Personen stets folgende Informationen zugänglich:

      a) Informationen zur Identität des Verantwortlichen (Art. 13 Abs. 1 lit. a, Art. 14 Abs. 1 lit. a, Art. 30 Abs. 1 lit. a DSGVO)
      
      Verpflichtend:
      - Name des Verantwortlichen (in der Regel die Firma, bzw. das Unternehmen - siehe Verantwortlichkeit),
      - ggf. Abteilung des Unternehmens,
      - Adresse (Straße, Hausnummer, PLZ, Stadt)
      - E-mail adresse
      - ggf. die Kontaktdaten des Vertreters des Verantwortlichen
      - ggf. im Falle gemeinsamer Verantwortlichkeit die anderen gemeinsam Verantwortlichen
      
      Optional:
      - Telefonnummer
      - ggf. zusätzliche Kontaktmöglichkeiten
      
      b) Die Kontaktinformationen des Datenschutzbeauftragen bzw. Data Protection Officer (DPO) (Art. 13 Abs. 1 lit. b, Art. 14 Abs. 1 lit. b, Art. 30 Abs. 1 lit. a DSGVO)
      
      c) Die Zwecke der Verarbeitung (siehe Zweckspezifizierung) (Art. 13 Abs. 1 lit. c, Art. 14 Abs. 1 lit. c, Art. 15 Abs. 1 lit. a, Art. 30 Abs. 1 lit. b DSGVO)
      
      d) Die Rechtsgrundlage der Datenverarbeitung (siehe Rechtmäßigkeit) (Art. 13 Abs. 1 lit. c, Art. 14 Abs. 1 lit. c DSGVO)
      Wird die Datenverarbeitung auf die berechtigte Interessen des Verantwortlichen gestützt, werden den betroffenen Personen auch diese mitgeteilt (Art. 13 Abs. 1 lit. d, Art. 14 Abs. 2 lit. b DSGVO).
      
      e) Die Datenempfänger oder Kategorien von Datenempfängern (Art. 13 Abs. 1 lit. e, Art. 14 Abs. 1 lit. e, Art. 15 Abs. 1 lit. c, Art. 30 Abs. 1 lit. d DSGVO)
      Insoweit bekannt, teilt der Verantwortliche alle Empfänger der personenbezogenen Daten mit; insoweit noch nicht bekannt, alle möglichst genau spezifizierten Kategorien von Datenempfängern.
      
      f) Bei Datenübermittlungen in ein Drittland gem. Art. 44 ff. DSGVO: Art. 13 Abs. 1 lit. f, Art. 14 Abs. 1 lit. f, Art. 15 Abs. 1 lit. c, Art. 30 Abs. 1 lit. e DSGVO teilt der Verantwortliche der betroffenen Person mit:
      aa) die Absicht Daten in ein Drittland oder an eine internationale Organisation zu übermitteln und
      bb) eine Auflistung der Drittländer, in welche die Daten übertragen werden und
      cc) die besondere Rechtsgrundlage auf deren Grundlage die Datenübermittlung erfolgt:
      - Datenübermittlung auf Basis einers Angemessenheitsbeschlusses nach Art. 45 DSGVO, inklusive eines Hinweises auf den Angemessenheitsbeschluss (Anm: eigentlich nur Auskunftsrecht nach Art. 15 Abs. 2 DSGVO)
      - Datenübermittlung vorbehaltlich geeigneter Garantien gem. Art. 46 DSGVO, inlusive eines Hinweises auf die getroffenen Sicherheitsmaßnahmen und die Möglichkeit eine Kopie der Dokumentation dieser Maßnahmen zu erlangen
      - Datenübermittlung auf der Basis von Ausnahmen für bestimmte Fälle gem. Art. 49 DSGVO, inklusive der Angabe der konkret einschlägigen Alternative (siehe Datenübermittlung in Drittländer).
      
      g) Informationen über die Speicherdauer (Art. 13 Abs. 2 lit. a, Art. 14 Abs. 2 lit. a, Art. 15 Abs. 1 lit. d, Art. 30 Abs. 1 lit. f DSGVO)
      Die genaue Speicherdauer oder, falls diese noch nicht bekannt ist, die Kriterien auf welcher Grundlage diese Dauer festgelegt wird (siehe Speicherdauer und Löschfristen)
      
      h) Informationen über die Betroffenenrechte:
      
      aa) Insoweit einschlägig, Hinweise zum Bestehen der folgenden Betroffenenrechte:
      - Recht auf Auskunft (Art. 13 Abs. 2 lit. b, Art. 14 Abs. 2 lit. c, Art. 15 Abs. 1 lit. e DSGVO)
      - Recht auf Berichtigung (Art. 13 Abs. 2 lit. b, Art. 14 Abs. 2 lit. c, Art. 15 Abs. 1 lit. e DSGVO)
      - Recht auf Löschung (Art. 13 Abs. 2 lit. b, Art. 14 Abs. 2 lit. c, Art. 15 Abs. 1 lit. e DSGVO)
      - Recht auf Einschränkung der Verarbeitung (Art. 13 Abs. 2 lit. b, Art. 14 Abs. 2 lit. c, Art. 15 Abs. 1 lit. e DSGVO)
      - Recht auf Datenübertragbarkeit (Art. 13 Abs. 2 lit. b, Art. 14 Abs. 2 lit. c, Art. 15 Abs. 1 lit. e DSGVO)
      - Recht auf Widerruf der Einwilligung: Dieses Recht besteht nur, wenn die Datenverarbeitung auf eine Einwilligung gestützt wird (Art. 7 Abs. 3 S. 1 DSGVO, Art. 13 Abs. 2 lit. c bzw. Art. 14 Abs. 2 lit. d DSGVO)
      - Recht auf Widerspruch gegen die Datenverarbeitung: Dieses Recht besteht nur, wenn die Datenverarbeitung auf berechtigte Interessen des Verantwortlichen gestützt wird (Art. 6 Abs. 1 lit. f DSGVO) oder auf die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt (Art. 6 Abs. 1 lit. e DSGVO)
      - Recht auf Beschwerde bei einer zuständigen Behörde (Art. 13 Abs. 2 lit. d, Art. 14 Abs. 2 lit. e, Art. 15 Abs. 1 lit. f DSGVO).
      
      bb) Wenn die Betroffenenrechte nicht anwendbar sind, der Grund hierfür (siehe Betroffenenrechte).
      
      i) Insoweit einschlägig: Informationen zu automatisierter Entscheidungsfindung und Profiling
      Anmerkung: Datenverarbeitungen nach Art. 22 DSGVO sind allerdings bereits vom Anwendungsbereich dieses Kriterienkatalogs ausgeschlossen.

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • 2. Zusätzliche Informationspflichten nach Art. 13 DSGVO

      Werden die personenbezogenen Daten bei der betroffenen Person erhoben, teilt der Verantwortliche zusätzlich folgende Information mit:
      - ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist,
      - ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte (Art. 13 Abs. 2 lit. e DSGVO)
      - Wenn die Daten für einen anderen Zweck als den Erhebungszweck weiterverarbeitet werden sollen, stellt der Verantwortliche alle bereits genannten Informationen über diesen neuen Zweck zur Verfügung (Art. 13 Abs. 3 DSGVO).

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • 3. Zusätzliche Informationspflichten nach Art. 14 DSGVO

      Werden die personenbezogenen Daten bei anderen Quellen erhoben als der betroffenen Person selbst, teilt der Veranwortliche zusätzlich folgende Information mit:
      - aus welcher Quelle die personenbezogenen Daten stammen und gegebenenfalls ob sie aus öffentlich zugänglichen Quellen stammen (Art. 14 Abs. 2 lit. f).

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • 4. Risiken und Vorteile

      Zusätzlich zu den ausdrücklich im Gesetz festgehaltenen Informationen sollte den betroffenen Personen eine Beschreibung aller aus der Datenverarbeitung resultierender Risiken und Vorteile zugänglich gemacht werden (siehe Zweckspezifizierung). Solche Vorteile können die Person selbst betreffen (z.B. die Erhöhung des individuellen Komforts oder Kosteneinsparungen) oder eine gesamtgesellschaftliche Dimension haben (z.B. eine erfolgreiche Energiewende.) Effektive Transparenz wird dabei nur hergestellt, wenn betroffene Personen in die Lage versetzt werden, im Rahmen einer persönölichen Abwägung entscheiden zu können, ob die Vorteile der Datenverarbeitung den Risiken überwiegen.

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
  Relevant DSGVO norms

  

  
  

Relevant DSGVO norms

• Frist

  Der Verantwortliche muss festlegen und dafür Sorge tragen, dass die Informationen der betroffenen Person rechtzeitig zugänglich gemacht werden. Auch die korrekte Bestimmung der Frist weicht abhängig davon ab, ob die personenbezogenen Daten direkt bei der betroffenen Person erhoben wurden, oder aus einer Dritten Datenquelle stammen:

  Relevant DSGVO norms

  

  
  
  • Die Information wird der betroffenen Person rechtzeitig mitgeteilt
    Relevant DSGVO norms

    

    
    
    • Alt. 1: Die personenbezogenen Daten werden bei der betroffenen Person erhoben (Art. 13 DSGVO)

      Mitteilung der Information (spätestens) im Zeitpunkt der Datenerhebung

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • Alt. 2: Die personenbezogenen Daten werden nicht bei der betroffenen Person, sondern von Dritten erhoben (Art. 14 DSGVO)

      Mitteilung der Information
      
      a) entweder innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, längstens jedoch innerhalb eines Monats,
      b) falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an sie,
      c) falls die Offenlegung der personenbezogenen Daten an einen anderen Empfänger beabsichtigt ist, spätestens zum Zeitpunkt der ersten Offenlegung

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
  Relevant DSGVO norms

  

  
  

Relevant DSGVO norms

• Data Protection by Design

  Der für die Verarbeitung Verantwortliche hat Maßnahmen ergriffen, um die betroffene Person wirksam zu informieren (Art. 25 DSGVO). Hiernach muss die Information in einer Weise dargeboten werden, dass die betroffene Person den Umfang und das Ausmaß der Datenverarbeitung erkennen und verstehen kann, sowie die Risiken und Vorteile, die sich aus der Datenverarbeitung für die Grundrechte der betroffenen Person ergeben.

  Relevant DSGVO norms

  

  
  
  • Die Mitteilung der Information erfolgt auf eine einfach zugängliche und verständliche Art und Weise
    Relevant DSGVO norms

    

    
    
    • 1. Verständlichkeit der Erklärung

      Die Darstellung der Informationen ist so gestaltet, dass die Verständlichkeit für die betroffene Person erhöht wird, z.B. durch etablierte Designprinzipien und die Verwendung von standardisierten Icons oder Bildsymbolen gem. Art. 12 Abs. 7 DSGVO.
      Die Informationen werden in einer klaren und einfachen Sprache dargestellt, so dass sie für den Durchschnittsnutzer verständlich sind, wobei übermäßig komplexe rechtliche und technische Terminologie vermieden wird (vgl.Art. 29 Data Protection Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev.01, 13).
      
      Good Practice in Bezug auf Form und Sprache: (vgl. z.B. www.privacyiconsforum.eu)
      
      a) Modalverben und Wörter wie "kann", "könnte", "einige", "oft" und "möglich" sind zu vermeiden.
      b) Absätze und Sätze sind gut strukturiert und leicht zu lesen.
      c) Hierarchische Beziehungen werden durch Aufzählungspunkte und Einrückungen dargestellt.
      d) Wenn das Zielpublikum minderjährige Personen umfasst, ist die Sprache auch für Minderjährige verständlich.

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • 2. Zugänglichkeit und Klarheit

      Die Informationen sind klar von anderen, nicht datenschutzrelevanten Informationen wie Vertragsbestimmungen oder allgemeinen Geschäftsbedingungen getrennt.
      Die Informationen werden unentgeltlich zur Verfügung gestellt. (Art. 12 Abs. 5 DSGVO).

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • 3. Mehrebenenansatz Ansatz (Multilayered Approach)

      Insbesondere, wenn Transparenzinformationen digital bereitgestellt werden (z.B. ein Cookie-Banner auf einer Website oder Transparenzinformationen in einer digitalen Anwendung), sollten verschiedene Ebenen verwendet werden, die der betroffenen Person eine Übersicht über alle Informationen verschafft und gleichzeitig die Möglichkeit bietet, detailliertere Informationen auf weiteren Ebene zu erhalten. Ein mehrschichtiger Ansatz kann auch die Transparenz der Datenschutzrichtlinien erhöhen.

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
  Relevant DSGVO norms

  

  
  

Relevant DSGVO norms

Datenminimierung (Begrenzung des Personenbezugs)

Art. 2 Abs. 1, Art. 4 Abs. 1, Art. 5 Abs. 1 lit. c, e, Art. 24 Abs. 1, Art. 25 Abs. 1, Art. 5 Abs. 2 DSGVO

Kurz & bündig: Es werden nur in dem Umfang personenbezogene Daten verarbeitet, wie dies zur Erreichung des konkreten Zwecks erforderlich ist

Relevant DSGVO norms

• Erforderlichkeit

  Gemäß Art. 5 Abs. 1 lit. b DSGVO muss der Verantwortliche die Verarbeitung personenbezogener Daten auf das für den Verarbeitungszweck notwendige (erforderliche) Maß beschränken. Dieses "Datenminimierungsprinzip" stellt sicher, dass die Menge (Quantität) sowie die Art und Auflösung (Qualität) verarbeiteter personenbezogene Daten und die damit verbundenen Risiken für die Grundrechte betroffener Personen auf ein angemessenes Niveau reduziert werden.

  Relevant DSGVO norms

  

  
  
  • Die Verarbeitung personenbezogener Daten ist auf den zur Erreichung des konkreten Zwecks erforderlichen Umfang begrenzt
    Relevant DSGVO norms

    

    
    
    • 1. Die Datenverarbeitung ist zur die Erreichung des konkreten Zwecks geeignet

      Der Verantwortliche muss darlegen können, dass eine Durchführung der Verarbeitungstätigkeiten (siehe Dokumentation) mit den dort vorgesehenen personenbezogenen Daten für die Erreichung des konkreten Zwecks überhaupt geeignet sind (siehe Zweckspezifizierung). Grundsätzlich steht es dem Verantwortlichen frei zu entscheiden, wie und anhand welcher Daten er versucht den konkreten Verarbeitungszweck zu erreichen. Er darf aber nicht personenbezogene Daten erheben und verarbeiten, die in keinem Zusammenhang zum verfolgten Zweck stehen. Das ist insbesondere der Fall, wenn personenbezogene Daten nur für zukünftige andere Zwecke miterhoben oder vorgehalten werden.

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • 2. Begrenzung der Datenverarbeitung auf den erforderlichen Umfang

      Der Verantwortliche muss insbesondere darlegen können, dass die mit der Datenverarbeitung einhergehenden Risiken (d.h. die Grundrechtsgefährung und -beeinträchtigung) möglichst gering gehalten werden. Dazu muss der Verantwortliche insbesondere die folgenden Faktoren kontrollieren:
      
      a) Menge und Auflösung der Daten
      Der Verantwortliche erhebt und verarbeitet Daten nur in einer Auflösung und in einem Umfang, wie es für den konkreten Verarbeitungszweck erforderlich ist. Das ist nur der Fall, wenn der Zweck nicht ebenso gut erreicht werden kann, wenn
      - insgesamt weniger verschiedene Kategorien personenbezogener Daten verarbeitet werden
      - die zeitliche oder räumliche Auflösung der Daten niedriger ist oder lediglich aggregierte Daten verarbeitet werden (Beispiel: Eine angestrebte Optimierung des Energieverbrauchs eines Gebäudes lässt sich anstatt mit wohnungsspezifischen Strom- und Wärmeverbrauchsdaten auch mit auf Gebäudeebene aggregierten Daten erreichen; anstatt der sekündlichen Erhebung von Energieverbrauchsdaten genügt auch die stündliche Erhebung).
      
      b) Zugriff auf die Daten
      Der Zugriff auf die Daten ist so ausgestaltet, dass nur solche Personen Zugriff auf Daten erhalten und nur in dem Umfang, wie es für die Erreichung des konkreten Verarbeitunsgzwecks erforderlich ist. Das wird durch die Einrichtigung eines wirksamen Rollen- und Zugriffsmanagements gewährleistet (siehe Data Protection by Design).
      
      c) Speicherung der Daten
      Der Verantwortliche speichert personenbezogene Daten
      - nur so lange wie es für die Erreichung des konkreten Zwecks erforderlich ist (siehe Speicherbegrenzung)
      - insoweit möglich getrennt von anderen personenbezogenen Daten und getrennt vom Zugriff durch andere Personen (siehe z.B. Mandantentrennung)
      
      d) Technische Datenminimierung
      Der Verantwortliche kann neben organisatorischen Maßnahmen auch mit technsichen Mitteln den Personenbezug begrenzen - beispielsweise durch Pseudonymisierung und Anonymisierung von Datensätzen (siehe Data Protection by Design).

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
  Relevant DSGVO norms

  

  
  

Relevant DSGVO norms

• Data Protection by Design

  Der Verantwortliche stellt durch die Implementierung verschiedener technischer und organisatorischer Maßnahmen sicher, dass das Datenminimierungsprinzip wirksam umgesetzt wird:

  Relevant DSGVO norms

  

  
  
  • Es wurden wirksame Maßnahmen zur Datenminimierung implementiert
    Relevant DSGVO norms

    

    
    
    • 1. Rollen- und Zugangsmanagement

      Der Verantwortliche hat ein Rollenkonzept erstellt, das regelt, welche Personen für welche Verarbeitunsgtätigkeiten und Geschäftsprozesse in welchem Umfang auf personenbezogene Daten zugreifen müssen
      
      a) Beschreibung des Rollen und Zugangskonzeptes:
      
      aa) Festlegung von Verarbeitungsvorgängen in einem fachlichen Rollen- und Zuständigkeitskonzept für Geschäftsprozesse (RZK) In diesem Konzept müssen:
      - Verarbeitungsvorgänge festgelegt werden, inkl. der Aktivitäten, aus denen sich die Vorgänge zusammensetzen (M51.P03),
      - die Funktionen und Aufgaben festgelegt werden, bspw. geordnet nach Organisationseinheiten (z. B. Abteilungen, Referate) und den Personen innerhalb dieser (M51.P04),
      - die Prozessrollen für die Erledigung dieser Aufgaben definiert und dokumentiert werden, inkl. ihrer Zuständigkeiten. Dabei sollte auf übliche, branchentypische Rollenbezeichnungen („Sachbearbeitung“, „Leitung Personalverwaltung“, „Administration Betriebssysteme“ usw.) zurückgegriffen werden (M51.P05).
      - insb. auch Bestimmung einer zuständige Rolle, die durch Rollenzuordnungen den Personen die Zugriffe auf eine Verarbeitungstätigkeit mit ihren Systemen, Diensten sowie den dazugehörigen Datenbeständen gewährt (M51.P12).
      
      bb) Dokumentation der Benutzerrollen in einem technischen Rollen- und Berechtigungskonzept für Systeme und Dienste (RBK) Im RBK müssen Definiert und dokumentiert werden:
      - die Benutzerrollen mit ihren Berechtigungen und die entsprechende technische Abbildung in den Systemen und Diensten (M51.P06).
      - Verknüpfung der Prozessrollen (inkl. Aufgaben, Zuständigkeiten und Aktivitäten) aus dem RZK mit den Benutzerrollen (mit ihren technischen Funktionen und Berechtigungen) des RBK
      - Verknüpfung der Benutzerrollen mit den unterstützenden Systemen und Dienste
      
      b) Durchsetzung des Rollen und Zugangskonzeptes:
      - Differenzen bei der Umsetzung einer Aufgabe aus dem RZK, die sich z. B. aus dem konkreten Einsatz verfügbarer Systeme und Dienste ergeben, MÜSSEN vom Verantwortlichen begründet, rechtlich beurteilt und dokumentiert werden (M51.P08)
      - Im Unternehmen muss festegelegt werden, durch welche Person ein Verarbeitungsvorgang ausgeführt wird
      - Wenn Verarbeitungstätigkeiten voneinander logisch bzw. funktional getrennt sind, sollte eine Zweckbindung jeder beabsichtigten Verarbeitungstätigkeit und der dafür eingesetzten Daten, Systeme und Dienste sowie Prozesse insbesondere durch Trennungsmaßnahmen durchgesetzt werden (siehe Baustein 50: „Trennen“)

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • 2. Anonymisierung und Pseudonymisierung

      Der Verantwortliche ergreift Maßnahmen, um direkte Identifikatoren aus Datensätzen zu entfernen bzw. zu ersetzen (insb. durch Anwendung einer Hash-Funktion auf die Identifikatoren) (Pseudonymisierung) oder verändert die Daten so weitgehend oder reguliert den Zugang zu den Daten so weitgehend, dass eine Rückführung auf "identifizierbare" Personen oder Personengruppen nicht mehr mit realistischem (tatsächlichen und wirtschaftlichen) Aufwand möglich ist (Anonymisierung). Achtung: Mit "Anonymisierung" im Sinne der DSGVO ist in der Regel die Herbeiführung eines Zustandes gemeint, der den Personenbezug und damit den Anwendungsbereich der DSGVO entfallen lässt. Die Robustheit verwendeter Anonymisierungsmethoden lässt sich anhand der heutigen Rechtslage kaum pauschal definieren - die Anforderungen werden hierfür teils sehr hoch gesetzt. Unabhängig von der Entfernung des Personenbezugs können Anonymisierungstechniken jedoch sehr effektive Mittel zur Datenminimierung darstellen und so erheblich zur Reduzierung von Risiken - und damit zu einem hohen Datenschutzniveau beitragen. (Siehe außerdem: rechtl. Konkretisierungen von Datenminimierungspflichten, z.B. § 52 MsbG zur Anonymisierung und Pseudonymisierung).
      Beispiele verschiedener Anonymisierungsansätze:
      
      a) Generalisierung
      - K-Anonymity: Zusammenfassen (Aggregation) der Datensätze von mindestens k Personen, um das Herausgreifen einer betroffenen Person zu verhindern.
      - L-Diversity: Sicherstellung, dass Merkmale in einer Äquivalenzklasse eines Datensatzes mindestens l verschiedene Werte aufweisen.
      - T-Closeness: Sicherstellung, dass die ursprüngliche Verteilung der Merkmale nach Anwendung von l-Diversity mit dem Rohdatensatz ungefähr übereinstimmt.
      
      b) Randomisierung (insb. Differential Privacy)
      Dem Datensatz wird ein Rauschen hinzugefügt, wodurch nicht mehr nachvollzogen werden kann, ob Aussagen in Bezug auf einzelne Merkmale tatsächlich wahr oder falsch sind. Die Verteilung der Merkmale bleibt aber so weitgehend erhalten, dass der Datensatz gleichzeitig nutzbar bleibt. Differential Privacy ermöglicht die Bestimmung, wie hoch das Rauschen sein muss, um einen hinreichenden Schutz zu gewährleisten (vgl. Dwork, C. (2006), „Differential privacy“, in: Automata, languages and programming, S. 1 ff.).
      
      Weiterführende Literatur:
      - Gadotti et al., Anonymization: The imperfect science of using data while preserving privacy, DOI: 10.1126/sciadv.adn7053
      - Art. 29 Datenschutzgruppe, Stellungnahme 5/2014 zu Anonymisierungstechniken
      - Elliot et al., The Anonymisation Decision-Making Framework 2nd Edition: European Practitioners’ Guide, 2020
      - Rupp, v. Grafenstein,Clarifying “personal data” and the role of anonymisation in data protection law, 2024
      
      

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • 3. Mandantentrennung durch Trennung von Datensätzen

      Insofern ein Verantwortlicher Daten verschiedener betroffener Personen speichert, sollte er durch technische und organisatorische Maßnahmen gewährleisten, dass die Datensätze auf eine Weise logisch oder physisch voneinander getrennt sind, sodass eine Zusammenführung der personenbezogenen Daten nicht erfolgt:
      
      a) Mandantenfähigkeit der IT: Die zur Datenverarbeitung eingesetzte Informationstechnik mit ihren einzelnen IT-Komponenten ist „mandantenfähig“, wenn sie in der Lage ist, zwischen verschiedenen Mandanten eine notwendige und erforderliche Trennung umzusetzen.
      
      b) Vereinbarung: Für allen Parteien mit Zugriff auf die vorliegenden Daten liegt ein wirksamer AVV gem. Art. 26 DSGVO oder ein JCA gem. Art. 26 DSGVO vor (siehe Verantwortlichkeit).
      Eine gemeinsame Speicherung personenbezogener Daten kann abhängig vom konkreten Verarbeitungszweck aber auch sinnvoll und zulässig sein. Das ist insbesondere der Fall, wenn der konkrete Verarbeitungszweck (siehe Zweckspezifizierung) eine Zusammenführung personenbezogener Daten zwingend beinhaltet (z.B. wenn personenbezogene Daten mehrerer betroffener Personen zu Analysezwecken statistisch aggregiert werden sollen) (siehe ausführlicher zum Thema Mandantentrennung: DSK, SMD Baustein 50 „Trennen“; DSK Orientierungshilfe Mandantenfähigkeit, Version 1.0 vom 11.10.2012).

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • 4. Mandantentrennung bei gemeinsam genutzter Infrastruktur

      Insofern ein Verantwortlicher organisationsintern oder gemeinsam mit externen Partnern eine gemeinsame IT-Infrastruktur nutzt (z.B. Gebäude, Räume, Energieversorgung, Klimatisierung und Verkabelung, die Anwendungssysteme, gemeinsame Datenbank-Managementsysteme und Datenbanken, Netzwerkkomponenten, Speicher- und Managed-Storage-Systeme, Backup-Systeme in konventionellen und in virtualisierten Umgebungen), müssen die vorliegenden Verarbeitungsvorgänge in physikalisch oder logisch getrennten Verarbeitungskontexten (Mandanten) erfolgen.

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
  Relevant DSGVO norms

  

  
  

Relevant DSGVO norms

Speicherdauer und Löschfristen

Art. 5 Abs. 1 lit. e, Art. 13 Abs. 2 lit. a, Art. 24 Abs. 1, Art. 35, Art. 25 Abs. 1, Art. 30 Abs. 1 lit. f, Art. 89 Abs. 1 S. 1, Art. 5 Abs. 2, Art. 4 Abs. 1 DSGVO

Kurz & bündig: Es wird gewährleistet, dass personenbezogene Daten nur so lange gespeichert werden, wie es für die Zweckerreichung erforderlich ist.

Relevant DSGVO norms

• Definition der Speicherfrist

  Insoweit für den konkreten Anwendungsfall eine gesetzliche Speicherfrist besteht, legt der Verantwortliche die Speicherfrist ensprechend der gesetzlichen Vorgaben fest.
  
  Besteht keine spezielle gesetzliche Speicherfrist, legt der Verantwortliche in absteigender Hierarchie fest:

  Relevant DSGVO norms

  

  
  
  • Der Verantwortliche legt eine Speicherfrist fest, nach deren Ablauf die personenbezogenen Daten gelöscht oder anonymisiert werden
    Relevant DSGVO norms

    

    
    
    • a) Datum

      Ein festes, kalendarisches Datum an dem die personenbezogenen Daten gelöscht werden

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • b) Ereignisfrist

      Ein feststehendes Ereignis oder eine Bedingung unter welchen die personenbezogenen Daten gelöscht werden (z.B. ein Jahr nach Ablauf eines Vertrages zwischen dem Betroffenen und dem Verantwortlichen)

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • c) Zeitablauf

      Eine Maximalfrist nach welcher die personenbezogenen Daten spätestens gelöscht werden (z.B. 3 Jahre)

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • d) Kriterien zur Fristbestimmung

      Insoweit eine Bestimmung einer Frist noch nicht möglich ist, legt der Verantwortliche Kriterien fest, nach welchen sich die zukünftig zu bestimmende Speicherfrist bemisst.

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
  Relevant DSGVO norms

  

  
  

Relevant DSGVO norms

• Alt. 1 Löschung

  Anforderungen an den Löschvorgang:
  Da im Rahmen dieses Kriterienkatalogs keine sensiblen Daten iSv. Art. 9 DSGVO verarbeitet werden (siehe besondere Eigenschaften der Daten), wird zur Erfüllung der Löschverpflichtung durch folgendes Vorgehen erfüllt (vgl. die Sicherheitsstufen für die Löschung von Daten aus DSK SDM Baustein 60):

  Relevant DSGVO norms

  

  
  
  • Die Daten werden zum Ablauf der Speicherdauer gelöscht
    Relevant DSGVO norms

    

    
    
    • 1. Austragung aus Verzeichnissen

      Die Daten werden aus elektronischen Verzeichnissen bzw. Tabellen ausgetragen (bspw. durch Datenbank-Löschbefehle).

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • 2. Reorganisation der Datenbank

      Die Datenbank wird reorganisiert, wordurch ein Überschreiben der zu löschenden Daten sichergestellt wird. Werden sensible Daten iSv. Art. 9 DSGVO verarbeit, können abhängig vom Risiko im Einzelfall weitergehende Maßnahmen erforderlich sein, auf die auch in den Erläuterungen eingegangen wird (siehe dort).

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
  Relevant DSGVO norms

  

  
  

Relevant DSGVO norms

• Alt. 2 Anonymisierung

  Der Löschung der Daten kommt es gleich, wenn die Daten nach der Anwendung von Anonymisierungsverfahren nicht mehr personenbezogen sind (dies ist teilweise umstritten - siehe Definitionen und Erläuterungen). In diesem Sinne anonymisierte Daten fallen bereits nicht mehr in den Anwendungsbereich der DSGVO und unterliegen daher nicht mehr dem Speicherbegrenzungsprinzip von Art. 5 Abs. 1 lit. e DSGVO, unter den folgenden Voraussetzungen:
  
  1. Der Datensatz wird so anonymisiert, dass der Zieldatensatz keine personenbezogenen Daten im Sinne von Art. 4 Nr. 1 DSGVO mehr enthält.
  2. Der ursprüngliche Rohdatensatz wird unwiderruflich gelöscht (siehe oben).

  Relevant DSGVO norms

  

  
  

Relevant DSGVO norms

• Alt. 3 Ausnahme von der Speicherbegrenzung

  Für manche weiterführende Verarbeitungszwecke gewährt die DSGVO eine Aufweichung des Gebots der Speicherbegrenzung, nämlich wenn der Verantwortliche die personenbezogenen Daten für Archivzwecke, Forschungszwecke oder statistische Zwecke verarbeitet:

  Relevant DSGVO norms

  

  
  
  • Vorhaltung der Daten für Archivzwecke, Forschungszwecke oder statistische Zwecke
    Relevant DSGVO norms

    

    
    
    • 1. Die Daten werden ausschließlich verarbeitet für

      a) im öffentlichen Interesse liegende Archivzwecke
      b) oder für wissenschaftliche oder historische Forschungszwecke
      c) oder für statistische Zwecke
      
      Siehe für eine ausführliche Definition dieser Begriffe die Definitionen und Erläuterungen im Thema Zweckbindung und Zweckbegrenzung.

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • 2. Es existieren geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen

      Der Verantwortliche kann geeignete Garantien zum Schutz der Grundrechte betroffener Personen nachweisen. Diese Garantien bestehen aus technisch-organisatorischen Maßnahmen (wie z.B. Pseudonymisierung und Anonymisierung) und dienen der Kompensation zusätzlicher Grundrechtsrisiken, die durch die Ausnahme von der Speicherbegrenzung verursacht werden. Ausführlicher wird hierauf bereits in der Beschreibung geeigneter Garantien für die Kompatibilitätprüfung nach Art. 6 Abs. 4 DSGVO eingegangen (siehe das Thema Rechtmäßigkeit). Diese Garantien gewährleisten:
      
      a) dass die Daten tatsächlich nur für die oben genannten Zwecke weiterverarbeitet werden,
      b) dass es aufgrund der längeren Speicherdauer nicht zu negativen Auswirkungen auf die Rechte und Interessen Betroffener Personen kommt und
      c) dass die Daten nach Erreichung des Sekundärzwecks gelöscht oder anonymisiert werden.

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • 3. Die personenbezogenen Daten werden nach Erreichung des Sekundärzwecks gelöscht oder vollständig rechtlich anonymisiert

      Insbesondere die statistische Verarbeitung der Daten führt bereits zu einer anonymisierung der Daten, sodass der Rohdatensatz nach der Datenanalyse unwiderruflich zu löschen ist.

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
  Relevant DSGVO norms

  

  
  

Relevant DSGVO norms

• Data Protection by Design

  Der Verantwortliche hat unter Berücksichtigung der mit der Datenverarbeitung verbundenen Risiken wirksame Maßnahmen ergriffen, um sicherzustellen, dass personenbezogene Daten am Ende der Aufbewahrungsfrist gelöscht werden.

  Relevant DSGVO norms

  

  
  
  • Der Verantwortliche hat wirksame technisch-organisatorische Maßnahmen implementiert, um das Prinzip der Speicherbegrenzung umzusetzen

    Hierbei wird gewährleistet, dass:
    - personenbezogene Daten aus elektronischen Verzeichnissen oder Tabellen entfernt werden, z. B. durch Datenbanklöschbefehle mit anschließender Reorganisation der Datenbank. Dabei ist sicherzustellen, dass die zu löschenden Daten bei der Reorganisation überschrieben werden,
    - oder die auf elektronischen Datenträgern gespeicherten Informationen einzelner Datenfelder (Daten oder Attribute von Daten) mit Hilfe von Löschprogrammen (z.B. sog. Wipe-Tools) überschrieben werden,
    - oder ganze Datenträger mit speziellen Lösch- oder Anwendungsprogrammen vollständig überschreiben werden,
    - oder die Datenträger als solche (z.B. Papier, Festplatten, SSD-Speicher) durch mechanisches Schreddern (Shreddern), Einschmelzen oder Verbrennung vernichtet werden.
    
    Der Verantwortliche stellt sicher, dass die Datenstruktur und die Speicherung der Daten so gestaltet sind, dass die Löschung der Inhalte einzelner Datenfelder, Datensätze oder zuvor definierter Datengruppen mit überschaubarem Aufwand möglich ist.
    Der Verantwortliche hat Maßnahmen getroffen, um das Risiko einer unbefugten Löschung zu vermindern.
    Soweit der Verantwortliche Datenlöschungen protokolliert, ist sichergestellt, dass diese Protokolle keine Daten enthalten, für die eine Löschungspflicht besteht.

    Relevant DSGVO norms

    

    
    
  Relevant DSGVO norms

  

  
  

Relevant DSGVO norms

• Definitionen und Erläuterungen

  Wenn du Fragen zu einzelnen rechtlichen Begrifflichkeiten hast, findest Du hier weitere Informationen.

  Relevant DSGVO norms

  

  
  
  • Ist die Anonyimiserung von Daten mit der Löschung gleichzusetzen?

    Ein datenschutzrechtlicher Löschanspruch betroffener Personen besteht nur in Bezug auf personenbezogene Daten im Sinne von Art. 4 Abs. 1 DSGVO. Insoweit ein Datensatz keine personenbezogenen Daten mehr enthält, findet die DSGVO keine Anwendung und besteht mithin kein Löschanspruch mehr. In diesem Sinne kann durch Entfernung des Personenbezugs auf dem Wege der Anonymisierung die Löschpflicht erfüllt werden (so die österreichische Datenschutzbehörde in ihrer Entscheidung GZ: DSB-D123.270/0009-DSB/2018 vom 5.12.2018 (Abschnitt D.3), ebenso BfDi, Positionspapier zur Anonymisierung unter der DSGVO unter besonderer Berücksichtigung der TK-Branche, S. 8-9).
    
    Andere Auffassungen werden insbesondere in der Litertur vertreten (siehe z.B.
    Roßnagel in: Simitis/Hornung/Spiecker gen. Döhmann, Art. 4 Nr. 2 Rn. 32)

    Relevant DSGVO norms

    

    
    
  Relevant DSGVO norms

  

  
  

Relevant DSGVO norms

Betroffenenrechte

Art. 12, Art. 15, Art. 16, Art. 17, Art. 18, Art. 19 Abs. 1, Art. 20, Art. 21, Art. 11, Art. 24 Abs. 1, Art. 25 Abs. 1, Art. 89 Abs. 2, 3, Art. 5 DSGVO

Kurz & bündig: Die Informations- und Interventionsrechte der betroffenen Personen werden gewährleistet

Relevant DSGVO norms

• Antragstellung
  Relevant DSGVO norms

  

  
  
  • Der Verantwortliche hat ein wirksames System zur Geltendmachung der Betroffenenrechte implementiert (Antragstellung)
    Relevant DSGVO norms

    

    
    
    • 1. Kontaktstelle

      Der Verantwortliche benennt eine Kontaktstelle, die für die Bearbeitung aller Anfragen im Zusammenhang mit der Ausübung der Rechte betroffener Person zuständig ist. Falls eine Anfrage an eine andere Stelle innerhalb des Unternehmens gerichtet wird, werden diese in jedem Fall an die zuständige Kontaktstelle weitergeleitet.

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • 2. Bearbeitung von Anfragen (Art. 12 Abs. 2 DSGVO)

      a) Der Verantwortliche nimmt Anträge unabhängig von der Form, in der sie gestellt werden, entgegen.
      Best Practice:
      - Der Verantwortliche ermöglicht es der betroffenen Person, den Antrag schriftlich oder in Textform zu stellen.
      - Der Verantwortliche stellt der betroffenen Person Antragsformulare zur Verfügung.
      - Der Verantwortliche stellt sicher, dass Anträge auch elektronisch eingereicht werden können.
      
      b) Der Verantwortliche hat die Verantwortung für die Bearbeitung der Anträge betroffener Personen formell einer Stelle innerhalb des Unternehmens übertragen (das kann dieselbe Stelle sein wie die Kontaktstelle).
      
      c) Der für die Verarbeitung Verantwortliche prüft die Identität der anfragenden betroffenen Person, indem er
      - beurteilt, ob die Identifizierung der anfragenden Person für die angemessene Beantwortung oder Gewährung der spezifischen Anfrage notwendig ist,
      - beurteilt, ob der Verantwortliche die betroffene Person Datensätze identifizieren kann oder ob die Identifizierung zusätzliche Informationen erfordert, die nicht aus dem Unternehmen des Verantwortlichen (oder einer anderen Stelle) stammen können,
      - beurteilt, ob zusätzliche Informationen, die von der betroffenen Person zur Verfügung gestellt werden (=Selbstidentifizierung), es dem Verantwortlichen ermöglichen, die betroffene Person zu identifizieren (Art. 12 Abs. 6 DSGVO). Hat der Verantwortliche begründete Zweifel an der Identität der natürlichen Person, die den Antrag gemäß den Artikeln 15 bis 21 stellt, so kann er unbeschadet des Artikels 11 zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.
      
      d) Der Verantwortliche stellt sicher, dass Anträge unverzüglich, spätestens in den gesetzlichen Fristen bearbeitet werden (M62.P07).

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
  Relevant DSGVO norms

  

  
  

Relevant DSGVO norms

• Auskunfts- und Zugangsrecht Art. 15 DSGVO
  Relevant DSGVO norms

  

  
  
  • Der Verantwortliche gewährt qualifizierten betroffenen Personen Auskunft und Zugang zu personenbezogenen Daten
    Relevant DSGVO norms

    

    
    
    • 1. Auskunftsrecht

      a) Der für die Verarbeitung Verantwortliche bestätigt oder verneint auf Anfrage jeder betroffenen Person, die er identifizieren kann, wahrheitsgemäß, ob er personenbezogene Daten sie verarbeitet.
      
      b) Im Fall einer qualifizierten Anfrage, stell der Verantwortliche die folgenden Informationen über die Verarbeitung personenbezogener Daten zur Verfügung (Art. 15 Abs. 1, 2 DSGVO):
      - die Zwecke der Verarbeitung,
      - die Kategorien der personenbezogenen Daten,
      - die Empfänger oder Kategorien von Empfängern, an welche personenbezogene Daten weitergegeben wurden oder werden, insbesondere Empfänger in Drittländern oder internationale Organisationen,
      - wenn möglich, den vorgesehenen Zeitraum, für den die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieses Zeitraums,
      - ob der betroffenen Person ein Berichtigungsanspruch gem. Art. 16 DSGVO zusteht oder das Recht Löschung personenbezogener Daten (Art. 17 DSGVO) oder das Recht die Einschränkung der Verarbeitung zu verlangen (Art. 18 DSGVO) oder der Verarbeitung zu widersprechen,
      - das Recht, gem. Art. 77 DSGVO eine Beschwerde bei einer Aufsichtsbehörde einzureichen,
      - falls die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden, alle verfügbaren Informationen über die Herkunft der Daten
      - im Fall automatisierten Entscheidungsfindung oder Profiling iSv. Art. 22 Abs. 1 und 4 DSGVO Informationen hierüber und über die involvierte Logik sowie über die Bedeutung und die voraussichtlichen Folgen einer solchen Verarbeitung für die betroffene Person und ihre Grundrechte
      - insoweit Daten auf der Grundlage von Art. 46 DSGVO in ein Drittland übermittelt werden, auf Anfrage Informationen über das Vorliegen von geeigneter Garantien.

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • 2. Zugangsrecht

      Der Verantwortliche gewährt im Fall einer qualifizierten Anfrage Zugang zu den angeforderten Daten. Der Zugang wird durch eines der folgenden Mittel gewährt:
      
      - eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind (Art. 15 Abs. 3, 1 DSGVO)
      - wenn die betroffene Person den Antrag auf elektronischem Wege stellt, werden die Informationen in einer allgemein gebräuchlichen elektronischen Form, z.B. als PDF, bereitgestellt, sofern die betroffene Person nichts anderes verlangt (Art. 15 Abs. 3 S. 3 DSGVO)
      - mündliche Auskunft, Akteneinsicht, Zugang vor Ort oder Fernzugriff ohne die Möglichkeit des Herunterladens.

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • 3. Ausnahmen

      Übermittelt der Verantwortliche keine (personenbezogenen) Daten in ein nicht-EU Drittland, müssen die Vorgaben der Art. 44 ff. DSGVO nicht beachtet werden. Ein Drittlandtransfer liegt vor, bei Datenübermittlungen:
      
      a) an einen Datenempfänger (vgl. Art. 4 Abs. 9 DSGVO):
      - Datenempfänger kann jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle sein, der personenbezogene Daten offengelegt werden.
      - Der Datenempfänger kann die Rolle eines Verantwortlichen, eines Auftragsverarbeiters oder eines Dritten haben
      - Auch Datenübermittlungen innerhalb einer Unternehmensgruppe sind als Übermittlung in ein Drittland zu betrachten, wenn der empfangende Teil der Unternehmensgruppe in einem Drittland ansässig ist (siehe Erwägungsgrund 48 (2) der DSGVO).
      
      b) in einem Drittland:
      Drittland ist jedes Land, das nicht Mitglied der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) ist (siehe Beschluss Nr. 154/2018 des Gemeinsamen EWR-Ausschusses vom 6.7.2018 (ABl. 2018 L 183, ABLEU Jahr 2018 L Heft 183 Seite 23, mit dem die DS-GVO in das EWR-Abkommen aufgenommen wurde).
      
      c) oder an eine Internationale Organisation:
      Eine völkerrechtliche Organisation und ihre nachgeordneten Stellen oder jede sonstige Einrichtung, die durch eine zwischen zwei oder mehr Ländern geschlossene Übereinkunft oder auf der Grundlage einer solchen Übereinkunft geschaffen wurde (vgl. Art. 4 Abs. 26 DSGVO).
      
      Beispiele:
      - United Nations (UN),
      - OECD,
      - International Menschenrechtsorganisationen

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • 4. Data Protection by Design

      Der Verantwortliche gestaltet die Struktur der Daten so, dass die einzelnen Daten der betroffenen Person in den Datenbeständen gefunden und effektiv abgerufen werden können (vgl. EDPB, Guidelines 01/2022 on data subject rights, Version 2.0, 125f).
      
      Der Verantwortliche hat Maßnahmen getroffen, die gewährleisten, dass nur identifizierten, berechtigten Personen Zugang zu personenbezogenen Daten gewährt wird.

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
  Relevant DSGVO norms

  

  
  

Relevant DSGVO norms

• Recht auf Berichtigung Art. 16 DSGVO
  Relevant DSGVO norms

  

  
  
  • Der Verantwortliche berichtigt falsche und ergänzt unrichtige personenbezogene Daten
    Relevant DSGVO norms

    

    
    
    • 1. Berichtigung und Ergänzung

      Der Verantwortliche berichtigt auf Antrag qualifizierter (siehe Antragstellung) betroffener Personen personenbezogene Daten, insoweit die personenbezogenen Daten unrichtig (inklusive geringfügiger Ungenauigkeiten) (Art. 16 S. 1 DSGVO) oder unvollständig sind (Art. 16 S. 2 DSGVO).

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • 2. Ausnahmen

      Der Verantwortliche lehnt qualifizierte Anträge nur dann ab, wenn dies aufgrund anderer allgemeiner oder spezieller gesetzlicher Bestimmungen zulässig ist, z.B. im Falle der Verarbeitung personenbezogener Daten zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken (Art. 89 Abs. 2 DSGVO) oder zu Archivierungszwecken im öffentlichen Interesse (Art. 89 Abs. 3 DSGVO).

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • 3. Data Protection by Design

      a) Der Verantwortliche gestaltet die Struktur der Daten so, dass die einzelnen Daten der betroffenen Person in den Datenbeständen gefunden und effektiv abgerufen werden können (vgl. EDPB, Guidelines 01/2022 on data subject rights, Version 2.0, 125f).
      
      b) Der Verantwortliche organisiert die Datenstruktur und die Datenmodelle so, dass einzelne Datenfelder, Datensätze oder Datengruppen korrigiert werden können.
      
      c) Der Verantwortliche stellt sicher, dass bei der Wiederherstellung von Daten aus Backups oder Kopien die in diesen Sicherungen oder Kopien nicht korrigierten Daten den aktuellen, korrigierten Datenbestand nicht "überschreiben".
      
      Good Practice:
      Der Verantwortliche legt Datenfelder zur Dokumentation von Zeitverläufen und Zeitstempeln an.
      Der Verantwortliche legt Datenfelder an, in denen identifizierende Daten der anfragenden betroffenen Person gespeichert werden, um später nachweisen zu können, dass die Korrektur der Daten nicht unberechtigt beantragt wurde.
      
      d) Der Verantwortliche hat Maßnahmen implementiert, die in der Lage sind, Berichtigungen durchzuführen oder in Zweifelsfällen die Daten für die weitere Verarbeitung einzuschränken, ohne dabei die Integrität der unveränderten Daten zu gefährden.
      
      e) Der Verantwortliche hat Maßnahmen getroffen, die gewährleisten, dass personenbezogene Daten nur auf Anfrage identifizierter, berechtigter Personen geändert oder ergänzt werden.

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
  Relevant DSGVO norms

  

  
  

Relevant DSGVO norms

• Recht auf Löschung Art. 17 DSGVO
  Relevant DSGVO norms

  

  
  
  • Der Verantwortliche löscht personenbezogene Daten im Falle einer qualifizierten Anfrage

    Der Verantwortliche hat Maßnahmen implementiert, die gewährleisten, dass die Löschung der Daten in Übereinstimmung mit den Anforderungen zur Datenlöschung erfolgt, wie sie in "Speicherdauer und Löschfristen" definiert wurden (siehe dort).

    Relevant DSGVO norms

    

    
    
    • 1. Löschung

      Der für die Verarbeitung Verantwortliche löscht personenbezogene Daten auf Antrag betroffener Personen, wenn:
      - die personenbezogenen Daten für die Zwecke, für die sie erhoben oder anderweitig verarbeitet wurden, nicht mehr erforderlich sind,
      - die betroffene Person ihre Einwilligung, auf die sich die Verarbeitung stützt, widerruft und keine andere Rechtsgrundlage für die Datenverarbeitung vorliegt,
      - die betroffene Person gem. Art. 21 Abs. 1 DSGVO Widerspruch gegen die Verarbeitung einlegt und keine zwingenden schutzwürdigen Gründe für die Verarbeitung bestehen,
      - die personenbezogenen Daten unrechtmäßig verarbeitet werden,
      - die personenbezogenen Daten zur Erfüllung einer rechtlichen Verpflichtung gelöscht werden müssen (hierbei sind nur Verpflichtungen nach Unionsrecht oder dem relevanten nationalen Recht eines EU-Mitgliedstaates umfasst),
      - die personenbezogenen Daten im Zusammenhang mit einem Angebot von Diensten der Informationsgesellschaft and Minderjährige gemäß Art. 8 Abs. 1 DSGVO verarbeitet werden.
      
      Für bereits veröffentlichte Daten oder anderweitig übermittelte Daten trifft der Verantwortliche unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um anderer Verantwortliche, die die personenbezogenen Daten verarbeiten, über das Löschbegehren der betroffenen Person zu informieren (Art. 17 Abs. 2 DSGVO).

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • 2. Ausnahmen

      Der Verantwortliche lehnt qualifizierte Anträge betroffenen Person nur dann ab, wenn die Verarbeitung erforderlich ist:
      - für die Ausübung des Rechts auf freie Meinungsäußerung und Information,
      - für die Erfüllung einer rechtlichen Verpflichtung oder für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde (in allen Fällen sind nur Rechtsvorschriften nach Unionsrecht oder dem relevanten nationalen Recht eines EU-Mitgliedstaates umfasst),
      - aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Art. 9 Abs. 2 lit. h und i sowie Art. 9 Abs. 3 DSGVO, für im öffentlichen Interesse liegende Archivierungszwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke gemäß Art. 89 Abs. 1 DSGVO, soweit das oben genannte Recht die Verwirklichung der Ziele dieser Verarbeitung unmöglich machen oder ernsthaft beeinträchtigen könnte, oder für die Begründung, Ausübung oder Verteidigung von Rechtsansprüchen.

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • 3. Data Protection by Design

      Der Verantwortliche hat Maßnahmen implementiert, die gewährleisten, dass nur Löschanfragen berechtigter Personen umgesetzt werden.
      Der Verantwortliche hat Maßnahmen implementiert, die gewährleisten, dass die Löschung der Daten in Übereinstimmung mit den Anforderungen zur Datenlöschung erfolgt, wie sie in "Speicherdauer und Löschfristen" definiert wurden (siehe dort).

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
  Relevant DSGVO norms

  

  
  

Relevant DSGVO norms

• Recht auf Einschränkung Art. 18 DSGVO
  Relevant DSGVO norms

  

  
  
  • Der Verantwortliche schränkt die Verarbeitung personenbezogener Daten im Fall einer qualifizierten Anfrage ein
    Relevant DSGVO norms

    

    
    
    • 1. Einschränkung der Verarbeitung

      Der Verantwortliche schränkt die Verarbeitung personenbezogener Daten ein, wenn:
      - die Richtigkeit der personenbezogenen Daten von der betroffenen Person angezweifelt wird: Die Verarbeitung wird für einen Zeitraum eingeschränkt, der es dem für die Verarbeitung Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen.
      - einer betroffenen Person Anspruch auf Löschung gem. Art. 17 DSGVO zusteht, sie aber die Einschränkung der Verarbeitung fordert.
      - der Verantwortliche die personenbezogenen Daten nicht längerfür die Zwecke der Verarbeitung benötigt, die betroffene Person aber zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
      - die betroffene Person Widerspruch gegen die Verarbeitung gemäß Art. 21 Abs. 1 DSGVO Widerspruch eingelegt hat, es aber noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen denen der betroffenen Person überwiegen.

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • 2. Ausnahmen

      Der Verantwortliche verarbeitet im eines qualifizierten Antrags die Daten nur über die fortlaufende Speicherung hinaus, wenn (Art. 18 Abs. 2 DSGVO):
      - die betroffene Person eingewilligt hat
      - die Verarbeitung für die Feststellung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist,
      - die Verarbeitung für den Schutz der Rechte einer anderen natürlichen oder juristischen Person erforderlich ist,
      - die Verarbeitung aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats erforderlich ist.

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • 3. Data Protection by Design (vgl. SDM Baustein 62 der Datenschutzkonferenz, „Einschränken der Verarbeitung“, Version V1.0)

      a) Der Verantwortliche organisiert die Struktur und Speicherung der Daten so, dass einzelne Datenfelder, Datensätze oder zuvor definierte Gruppen von Daten (z.B. Dateien in Dateisystemen oder Dokumente in Dokumentenmanagementsystemen) gekennzeichnet und mit einer zeitlichen Begrenzung für die Dauer der Einschränkung versehen werden können.
      
      b) Der Verantwortliche stellt sicher, dass bei allen regulären Verarbeitungsvorgängen personenbezogene Daten, die als "eingeschränkt" gekennzeichnet sind, als solche erkannt werden, und legt gegebenenfalls besondere Verarbeitungsregeln für diese Daten fest.
      
      Good Practive:
      Um alle übrigen Daten weiterverarbeiten zu können, kann eine Kopie aller Daten für die weitere Verarbeitung zur Verfügung gestellt werden, in der die zur Verarbeitung gesperrten Daten gelöscht wurden. In diesem Fall speichert der Verantwortliche die zur Verarbeitung gesperrten Daten zunächst in einem separaten Datensatz, um sie in einem separaten Verarbeitungssystem nach speziellen Regeln verarbeiten zu können.
      
      c) Der Verantwortliche pseudonymisiert oder verschlüsselt Daten, deren Verarbeitung eingeschränkt wurde.
      
      d). Der Verantwortliche hat Maßnahmen implementiert, dass sich die Einschränkung der Verarbeitung auch auf Kopien und Backups erstreckt, die zu einem Zeitpunkt entstanden sind, an dem die Einschränkung (noch) nicht bestand.

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
  Relevant DSGVO norms

  

  
  

Relevant DSGVO norms

• Recht auf Datenübertragbarkeit Art. 20 DSGVO
  Relevant DSGVO norms

  

  
  
  • Der Verantwortliche übermittelt personenbezogene Daten im Fall einer qualifizierten Anfrage der betroffenen Person
    Relevant DSGVO norms

    

    
    
    • 1. Datenübertragung

      Der Verantwortliche übermittelt auf qualifizierten Antrag einer betroffenen Person sie betreffendende personenbezogenen Daten, die sie dem Verantwortlichen bereitgestellt hat an die betroffene Person oder einen anderen Verantwortlichen, wenn
      - die Verarbeitung auf einer Einwilligung gemäß Art. 6 Abs. 1 lit. a oder Art. 9 Abs. 2 lit. a DSGVO oder auf einen Vertrag gemäß Art. 6 Abs. 1 lit. b DSGVO beruht
      - und mit Hilfe automatisierter Verfahren erfolgt.

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • 2. Ausnahmen

      Der Verantwortliche lehnt qualifizierte Anträge auf Datenübermittlung an einen Dritten Verantwortlichen nur dann ab, wenn eine solche Datenübermittlung technisch nicht umsetzbar ist (Art. 20 Abs. 2 DSGVO).

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • 3. Data Protection by Design

      a) Datenformat
      Der Verantwortliche ist in der Lage, die Daten in einem strukturierten, allgemein verwendeten und maschinenlesbaren Format zu übermitteln (Art. 20 Abs. 1 DSGVO).
      
      b) Struktur der Daten
      Der Verantwortliche organisiert die Struktur und die Speicherung der Daten so, dass er die Daten, die die betroffene Person zur Verfügung gestellt hat, von den anderen Daten unterscheiden kann.
      
      Folgende Daten gelten dabei als von der Person bereitgestellt:
      - Daten, die von der betroffenen Person aktiv und wissentlich bereitgestellt werden (z.B. Postanschrift, Benutzername, Alter)
      - beobachtete Daten, die von der betroffenen Person durch die Nutzung eines Dienstes oder Geräts bereitgestellt werden (z. B. Suchverlauf, Verkehrsdaten und Standortdaten sowie andere Rohdaten wie die von einem Ortungsgerät aufgezeichnete Herzfrequenz).
      
      Der Verantwortliche gewährleistet, dass der qualifizierte Antrag einer betroffenen Person auf Datenübertragbarkeit abgelehnt wird, wenn die Rechte und Freiheiten anderer Personen durch eine solche Datenübermittlung beeinträchtigt würden.

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
  Relevant DSGVO norms

  

  
  

Relevant DSGVO norms

• Widerspruchsrecht Art. 21 DSGVO
  Relevant DSGVO norms

  

  
  
  • Der Verantwortliche gewährleistet das Widerspruchsrecht betroffener Personen

    Der Verantwortliche stellt die Verarbeitung personenbezogener Daten ein, wenn
    - die Datenverarbeitung auf berechtigte Interessen gem. Art. 6 Abs. 1 lit. f DSGVO oder in Wahrnehmung einer öffentlichen Aufgabe im öffentlichen Interesse erfolgt (Art. 6 Abs. 1 lit. e DSGVO)
    - und eine betroffene Person der Verarbeitung widerspricht
    - und der Verantwortliche keine zwingenden schutzwürdigen Gründe für die Verarbeitung nachweisen kann, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient.

    Relevant DSGVO norms

    

    
    
  Relevant DSGVO norms

  

  
  

Relevant DSGVO norms

Datentransfer in Drittstaaten

Art. 44, Art. 45, Art. 46, Art. 47, Art. 49, Art. 13 Abs. 1 lit. f, Art. 30 Abs. 1 lit. e, Art. 4 Abs. 1 DSGVO

Kurz & bündig: Die Anforderungen zum Datentransfer in nicht-EU Staaten werden beachtet

Relevant DSGVO norms

• Keine Datenübermittlung in ein Drittland

  Übermittelt der Verantwortliche keine (personenbezogenen) Daten in ein nicht-EU Drittland, müssen die Vorgaben der Art. 44 ff. DSGVO nicht beachtet werden.
  
  Ein Drittlandtransfer liegt vor, bei Datenübermittlungen: a) an einen Datenempfänger (vgl. Art. 4 Abs. 9 DSGVO):
  - Datenempfänger kann jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle sein, der personenbezogene Daten offengelegt werden.
  - Der Datenempfänger kann die Rolle eines Verantwortlichen, eines Auftragsverarbeiters oder eines Dritten haben
  - Auch Datenübermittlungen innerhalb einer Unternehmensgruppe sind als Übermittlung in ein Drittland zu betrachten, wenn der empfangende Teil der Unternehmensgruppe in einem Drittland ansässig ist (siehe Erwägungsgrund 48 (2) der DSGVO).
  
  b) in einem Drittland:
  Drittland ist jedes Land, das nicht Mitglied der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) ist (siehe Beschluss Nr. 154/2018 des Gemeinsamen EWR-Ausschusses vom 6.7.2018 (ABl. 2018 L 183, ABLEU Jahr 2018 L Heft 183 Seite 23, mit dem die DS-GVO in das EWR-Abkommen aufgenommen wurde).
  
  c) oder an eine Internationale Organisation:
  Eine völkerrechtliche Organisation und ihre nachgeordneten Stellen oder jede sonstige Einrichtung, die durch eine zwischen zwei oder mehr Ländern geschlossene Übereinkunft oder auf der Grundlage einer solchen Übereinkunft geschaffen wurde (vgl. Art. 4 Abs. 26 DSGVO).
  
  Beispiele:
  - United Nations (UN),
  - OECD,
  - International Menschenrechtsorganisationen

  Relevant DSGVO norms

  

  
  

Relevant DSGVO norms

• Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses

  Übermittelt der Verantwortliche (personenbezogene) Daten in ein Drittland oder eine internationale Organisation für die ein Angemessenheitsbeschluss der EU-Kommission gem. Art. 45 DSGVO vorliegt, müssen keine weiteren Schutzmaßnahmen getroffen werden. Die Datenübermittlung wird in diesem Fall so behandelt, als würde sie innerhalb der EU-Mitgliedsstaaten erfolgen.
  
  - Andorra
  - Argentinien
  - Kanada (kommerzielle Organisationen)
  - Färöer Inseln
  - Guernsey
  - Israel
  - Isle of Man
  - Japan
  - Jersey
  - Neuseeland
  - Republik Korea (Südkorea)
  - Schweiz
  - Vereinigtes Königreich (gemäß der DSGVO und der LED)
  - Vereinigte Staaten von Amerika (für kommerzielle Organisationen, die nach dem EU-US-Privacy Framework zertifiziert sind - siehe https://www.dataprivacyframework.gov/list)
  - Uruguay
  
  (European Commission, Report on Adequacy Decision, COM(2024) 7 final, 15.01.2024, point 1; European Commission, Report on Adequacy Decision Japan, COM(2023) 275 final 03.04.2023 point 1; European Commission, Aqequacy Decision Republic of Korea, C(2021) 9316 17.12.2021, rec. 209; European Commission, Adequacy Decision United Kingdom - GDPR, C(201) 4800 28.06.2021, rec. 5; European Commission, Adequacy Decision United Kingdom - LED, C(2021) 4801 28.06.2021); European Commission, Adequacy Decision, EU-US Data Privcy Framework, C(2023) 4745 final, 20.07.2023.)

  Relevant DSGVO norms

  

  
  

Relevant DSGVO norms

• Datenübermittlung vorbehaltlich geeigneter Garantien

  Liegt kein Angemessenheitsbeschluss der EU-Kommission vor, können Datenübermittlungen trotzdem erfolgen, sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien gem. Art. 46 DSGVO vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen:
  
  1. Nicht genehmigungspflichtige Garantien Art. 46 Abs. 2 DSGVO
  Die geeigneten Garantien sind vom Gesetz abschließend vorgegeben und können, ohne dass hierzu eine besondere Genehmigung einer Aufsichtsbehörde erforderlich wäre, bestehen in:
  
  a) einem rechtlich bindenden und durchsetzbaren Dokument zwischen den Behörden oder öffentlichen Stellen,
  b) verbindlichen internen Datenschutzvorschriften gemäß Art. 47 DSGVO,
  c) Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen werden, siehe https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32021D0914,
  d) von einer Aufsichtsbehörde angenommenen Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Art. 93 Abs. 2 DSGVO genehmigt wurden,
  e) genehmigten Verhaltensregeln gemäß Art. 40 DSGVO zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters in dem Drittland zur Anwendung der geeigneten Garantien, einschließlich in Bezug auf die Rechte der betroffenen Personen, oder
  f) einem genehmigten Zertifizierungsmechanismus gemäß Art. 42 zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters in dem Drittland zur Anwendung der geeigneten Garantien, einschließlich in Bezug auf die Rechte der betroffenen Personen.
  
  Der Schutz, der den übermittelten personenbezogenen Daten in dem Drittland gewährt wird, muss im Wesentlichen dem Schutz entsprechen, der im EWR durch die Datenschutz-Grundverordnung im Lichte der Charta der Grundrechte der EU gewährleistet wird (C-311/18 (Schrems II), Rn. 105; vgl. EDPB reccomendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data Version 2.0, 29).
  
  2. Genehmigungspflichtige Garantien Art. 46 Abs. 3 DSGVO
  Die geeigneten Garantien können alternativ und vorbehaltlich der Genehmigung durch die zuständige Aufsichtsbehörde bestehen in:
  
  a) Vertragsklauseln, die zwischen dem Verantwortlichen oder dem Auftragsverarbeiter und dem Verantwortlichen, dem Auftragsverarbeiter oder dem Empfänger der personenbezogenen Daten im Drittland oder der internationalen Organisation vereinbart wurden, oder
  b) Bestimmungen, die in Verwaltungsvereinbarungen zwischen Behörden oder öffentlichen Stellen aufzunehmen sind und durchsetzbare und wirksame Rechte für die betroffenen Personen einschließen.

  Relevant DSGVO norms

  

  
  

Relevant DSGVO norms

• Ausnahmen für bestimmte Fälle Art. 49 DSGVO

  Liegen weder ein Angemessenheitsbeschluss noch geeignete Garantien vor, kann eine Datenübermittlung in ein Drittland trotzdem möglich sein, wenn der Verantwortliche eine der folgenden Anforderungen nachweisen kann:
  
  1. Einwilligung für konkrete Datenübermittlung
  Die betroffene Person hat der konkreten Datenübermittlung ausdrücklich zugestimmt, nachdem sie aufgeklärt wurde über die Risiken der Datenübermittlung und das Fehlen geeigneter Garantien und eines Angemessenheitsbeschlusses. Die Einwilligung muss dabei dieselben Anforderungen erfüllen, wie die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO (siehe Rechtmäßigkeit).
  
  2. Vertragserfüllung
  Die Übermittlung ist für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich.
  
  3. Vertragserfüllung im Interesse der betroffenen Person
  Die Übermittlung ist zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags erforderlich.
  
  4. Wichtige Gründe des öffentlichen Interesses
  Die Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses notwendig.
  
  5. Rechtsansprüche
  Die Übermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich.
  
  6. Lebenswichtige Interessen
  Die Übermittlung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder anderer Personen erforderlich, sofern die betroffene Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben.
  
  7. Öffentliche Register
  Die Übermittlung erfolgt aus einem Register, das gemäß dem Recht der Union oder der Mitgliedstaaten zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht, aber nur soweit die im Recht der Union oder der Mitgliedstaaten festgelegten Voraussetzungen für die Einsichtnahme im Einzelfall gegeben sind.

  Relevant DSGVO norms

  

  
  

Relevant DSGVO norms

• Auffangtatbestand (Art. 49 Abs. 1, 2 DSGVO)

  Stützt sich die Übermittlung nicht auf einen Angemessenheitsbeschluss oder sieht der für die Verarbeitung Verantwortliche keine angemessenen Garantien vor und liegt keine der oben aufgeführten Ausnahmen vor, darf die Übermittlung nur erfolgen, wenn:
  
  - die Übermittlung nicht wiederholt erfolgt,
  - nur eine begrenzte Zahl von betroffenen Personen betrifft,
  - für die Wahrung der zwingenden berechtigten Interessen des Verantwortlichen erforderlich ist,
  - die Interessen oder die Rechte und Freiheiten der betroffenen Person nicht überwiegen,
  - der Verantwortliche alle Umstände der Datenübermittlung beurteilt und auf der Grundlage dieser Beurteilung geeignete Garantien in Bezug auf den Schutz personenbezogener Daten vorgesehen hat
  - und der Verantwortliche die Aufsichtsbehörde von der Übermittlung in Kenntnis setzt.

  Relevant DSGVO norms

  

  
  

Relevant DSGVO norms

Vertraulichkeit und IT-Sicherheit

Art. 32, Art. 30 Abs. 1 lit. g, Art. 24 Abs. 1, Art. 5 Abs. 2 DSGVO

Kurz & bündig: Der Verantwortliche gewährleistet die Vertraulichkeit und IT-Sicherheit der Datenverarbeitung

Relevant DSGVO norms

• Angemessenes Schutzniveau für die Grundrechte betroffener Personen

  Der Verantwortliche definiert Prozesse und implementiert Maßnahmen, mit denen ein angemessenes Schutzniveau für die Grundrechte betroffener Personen gewährleistet wird

  Relevant DSGVO norms

  

  
  
  • 1. Risikoprüfung und Sicherheitskonzept

    Der Verantwortliche erstellt ein Sicherheitskonzept, in welchem die Risiken für die Grundrechte der betroffenen Person bewertet werden, die sich aus der Verarbeitung personenbezogener Daten für die angegebenen Zwecke und im Rahmen der spezifizierten Verarbeitungsvorgängeergeben. Im Rahmen dieses Konzepts bestimmt der Verantwortliche ein angemessenes Sicherheitsniveau, und definiert Maßnahmen um diese Risiken zu mindern.

    Relevant DSGVO norms

    

    
    
  Relevant DSGVO norms

  

  
  
  • 2. Data Protection by Design

    Der Verantwortliche hat wirksame technische und organisatorische Maßnahmen ergriffen, um dieses Sicherheitsniveau zu gewährleisten. Dieses beinhaltet unter anderem:
    - Pseudonymisierung und Verschlüsselung von personenbezogenen Daten;
    - Beschränkung des Zugriffs auf personenbezogene Daten und Identifikatoren auf qualifiziertes Personal durch Zuweisung von Aufgaben, Rollen, Verantwortlichkeiten, Kompetenzen und Zugriffsrechten an die Mitarbeiter des Verantwortlichen,
    - Einführung von Vertraulichkeitsanforderungen und Geheimhaltungsvereinbarungen für diese Mitarbeiter,
    - die Gewährleistung der ständigen Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste;
    - die Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Zwischenfalls durch die Bereitstellung von Sicherungskopien zeitnah wiederherzustellen,
    - ein Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

    Relevant DSGVO norms

    

    
    
  Relevant DSGVO norms

  

  
  

Relevant DSGVO norms

Data Protection by Design

Art. 25 Abs. 1 DSGVO

Kurz & bündig: Der Verantwortliche implementiert die Datenschutzgrundsätze in die technisch- organisatorische Ausgestaltung der Datenverarbeitungsprozesse.

Relevant DSGVO norms

• Wirksame Umsetzung der Verarbeitungsgrundsätze

  Der Verantwortliche gewährleistet, dass die zur Umsetzung der einzelnen Kriterien definierten und implementierten (technischen und organisatorischen) Maßnahmen geeignet und wirksam sind hinsichtlich der Umsetzung der Verarbeitungsgrunsätze von Art. 5 DSGVO (vgl. EDPB, Guidelines on Data Protection by Design, Rn. 8) und damit eines effektiven Schutzes der Grundrechte betroffener Personen (siehe bereits "Personenbezug").

  Relevant DSGVO norms

  

  
  
  • Der Verantwortliche implementiert wirksame Maßnahmen zur Umsetzung der Verarbeitungsgrundsätze

    Bei der Beurteilung der Geeignetheit und Effektivität der Maßnahmen berücksichtigt der Verantwortliche:
    - den Stand der Technik
    - die Kosten der Umsetzung
    - die Art, den Umfang, den Kontext und die Zwecke der Verarbeitung
    - die Risiken unterschiedlicher Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen, die durch die Datenverarbeitung versursacht werden.
    
    Insoweit der Vernatwortliche den Stand der Technik einhält, muss er keinen gesonderten Wirksamkeitsnachweis der getroffenen Maßnahmen erbringen.
    
    Insoweit ein Stand der Technik etabliert ist und der Verantwortliche von diesem abweicht, begründet und dokumentiert er dies.
    
    Insoweit kein Stand der Technik etabliert ist, achtet der Verantwortliche zumindest die (allgemein) anerkannten Regeln der Technik und begründet und dokumentiert ein Abweichen von diesen Regeln.
    
    Der Verantwortliche legt diese Maßnahmen zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung sowie zum Zeitpunkt der eigentlichen Verarbeitung fest.
    
    Siehe zur wirksamen Umsetzung der Datenschutzgrundsätze insb. die Bausteine des Standart Datenschutzmodells der Datenschutzkonferenz:
    - Speicherung der Daten - SDM Baustein 11
    - Trennen von Datensätzen und Identifikatoren - SDM Baustein 41
    - Zugriffs- und Berechtigungsmanagement - SDM Baustein 51
    - Löschkonzept - SDM Baustein 60
    - Einschränken der Datenverarbeitung - SDM Baustein 62

    Relevant DSGVO norms

    

    
    
  Relevant DSGVO norms

  

  
  

Relevant DSGVO norms

Datenschutzfolgeabschätzung

Art. 35 DSGVO

Kurz & bündig: Der Verantwortliche führt im Fall besonders Risikoreicher Datenverarbeitungen eine Datenschutzfolgeabschätzung gem. Art. 35 DSGVO durch.

Relevant DSGVO norms

• Datenschutzfolgeabschätzung

  Kommt die Schwellwertanalyse zu dem Ergebnis, dass die Datenverarbeitung ein hohes Risiko für die Grundrechte betroffener Personen verursacht, muss der Verantwortliche mit Hilfe seines Datenschutzbeauftragten zusätzliche Analysen im Rahmen einer Datenschutzfolgeabschätzung gem. Art. 35 DSGVO durchführen (siehe hierzu im Detail: Art. 29 Data Protection Working Party, Guidelines on Data Protection Impact Assessment (DPIA)).

  Relevant DSGVO norms

  

  
  
  • Der Verantwortliche überprüft, ob die Verarbeitung personenbezogener Daten mit einem hohen Risiko verbunden ist
    Relevant DSGVO norms

    

    
    
    • 1. Risikoprüfung (Schwellwertanalyse)

      Der Verantwortliche überprüft, ob die Verarbeitung personenbezogener Daten aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung wahrscheinlich mit einem hohen Risiko verbunden ist. Für die oben beschriebenen Zweckkategorien liegt ein solches hohes Risiko in der Regel nicht vor. Sobald aber in detaillierter Form das (Nutzungs-) Verhalten von Gebäudenutzenden in die Datenverarbeitung einfluss findet, etwa wenn Verhaltens- oder Geschmacksprofile einzelner Personen angelegt werden, kann ein hohes Risiko vorliegen (siehe dazu den zweiten Kriterienkatalog "Profilbildung und Personalisierung").
      
      Es liegt ein hohes Risiko vor, wenn die Verarbeitung mindestens zwei der folgenden Faktoren erfüllt (siehe Art. 29 Data Protection Working Party, Guidelines on Data Protection Impact Assessment (DPIA), 9ff): (siehe auch: Liste mit Datenverarbeitungen, für die DSFA durchgeführt werden muss: DSK, DSFA Blacklist, Version 1.1 Deutsch)
      
      a) Bewertung oder Beurteilung einer Person
      Die Datenverarbeitung beinhaltet eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen oder trifft Vorhersagen auf der Grundlage dieser Aspekte (Profiling). "Persönliche Aspekte" in diesem Sinne umfassen insbesondere die Arbeitsleistung, die wirtschaftliche Lage, die Gesundheit, die persönlichen Vorlieben oder Interessen, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort oder die Bewegungen der betroffenen Person (vgl. Erwägungsgründe 71 und 91 DSGVO).
      
      Im Rahmen der oben definierten Zweckkategorien (siehe Zweckspezifizierung), sind zwar auch Prognosen möglich (z.B. in Bezug auf den Energiebedarf eines Gebäudes oder Quartiers). Dabei handelt es sich aber in der Regel nicht um eine systematische und umfassende Bewertung persönlicher Aspekte. Auch hier kann aber die Auflösung der Daten wieder eine erhebliche Rolle spielen (siehe schon die Risikoanalyse im Rahmen von "II. Personenbezug der Daten"). Sind Energieverbrauchsdaten etwa so hoch aufgelöst, dass sich detailierte Rückschlüsse über das Verhalten einzelner Gebäudenutzenden treffen lassen, muss der Verantwortliche ggf. zusätzliche Maßnahmen (insb. Aggregation der Daten) treffen, um das Risiko der Datenverarbeitung zu reduzieren.
      
      b) Automatisierte Entscheidungsfindung gem. Art. 22 DSGVO
      Die Datenverarbeitung beinhaltet automatisierte Entscheidungsfindung gem. Art. 22 DSGVO, wobei nur Entscheidungen umfasst sind, die auch eine rechtliche Wirkung auf die betroffne Person ahben, wie z.B. Verarbeitungen, die darauf abzielen, betroffenen Personen den Zugang zu einer Dienstleistung oder den Abschluss eines Vertrags zu gestatten, zu ändern oder zu verweigern
      
      c) Systematische Beobachtung, Überwachung oder Kontrolle von betroffenen Personen
      Die Datenverarbeitung beinhalt eine systematische Beobachtung, Überwachung oder Kontrolle von betroffenen Personen. Gem. der Artikel 29 Datenschutzgruppe ist eine Datenverarbeitung "systematisch", wenn sie (siehe WP29-Leitlinien zum Datenschutzbeauftragten 16/EN WP 243):
      - nach einem System abläuft;
      - im Voraus geplant, organisiert oder methodisch ist;
      - im Rahmen eines allgemeinen Plans zur Datenerhebung erfolgt;
      - als Teil einer Strategie durchgeführt wird.
      Die WP29 versteht unter einem "öffentlich zugänglichen Bereich" jeden Ort, der für die Öffentlichkeit zugänglich ist, z. B. einen öffentlichen Platz, ein Einkaufszentrum, eine Straße, ein Marktplatz, ein Bahnhof oder eine öffentliche Bibliothek.
      
      d) Verarbeitung von besonderen Datenkategorien
      Es werden besondere Kategorien personenbezogener Daten gemäß Art. 9 und 10 DSGVO oder sehr persönlicher Daten (siehe oben "Kernbereich des Privatlebens") verarbeitet (siehe hierzu bereits "II. Personenbezug der Daten").
      
      e) Großer Umfang der Datenverarbeitung
      Es werden in großem Umfang personenbezogene Daten verarbeitet, aufgrund
      - der absolut oder relativ großen Anzahl von betroffenen Personen
      - des Gesamtvolumens der Daten und der Vielfalt der Datenkategorien
      - der langen Dauer oder Beständigkeit der Verarbeitungstätigkeit
      - der geografischen Ausdehnung der Verarbeitungstätigkeit
      - des Abgleichs oder der Kombination getrennter und unabhängig voneinander beschafften Datensätze
      
      f) Schutzbedürftige Personen
      Die Datenerhebung richtet sich an besonders schutzbedürftige Personen (Erwägungsgrund 75) wie Kinder, Arbeitnehmer, psychisch Kranke, Asylbewerber, ältere Menschen, Patienten usw.)
      
      g) Neue Technologie
      Die Verarbeitung personenbezogener Daten erfolgt unter Verwendung oder der Anwendung neuer technischer oder organisatorischer Lösungen, deren Risiken nicht hinreichend bekannt oder erforscht sind.

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • 2. Durchführung einer Datenschutzfolgeabschätzung

      Kommt die Schwellwertanalyse zu dem Ergebnis, dass die Datenverarbeitung ein hohes Risiko für die Grundrechte betroffener Personen verursacht, muss der Verantwortliche mit Hilfe seines Datenschutzbeauftragten zusätzliche Analysen im Rahmen einer Datenschutzfolgeabschätzung gem. Art. 35 GDPR durchführen (siehe hierzu im Detail: Art. 29 Data Protection Working Party, Guidelines on Data Protection Impact Assessment (DPIA)).

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
  Relevant DSGVO norms

  

  
  

Relevant DSGVO norms

Verantwortlichkeit und Auftragsverarbeitung

Art. 4 Abs. 7, 8, 9, 10, Art. 5 Abs. 1 lit. a, b , c, f, Art. 13 Abs. 1 lit. e, Art. 25 Abs. 1, Art. 29, Art. 30 Abs. 1 lit. d DSGVO

Kurz & bündig: Der Verantwortliche spezifiziert fie Rollen aller an der Datenverarbeitung beteiligten Akteure (insb. gemeinsam Verantwortliche und Auftragsverarbeiter).

Relevant DSGVO norms

• Spezifizierung der Datenempfänger

  Zunächst spezifiziert der Verantwortliche, welche Akteure überhaupt Zugang zu personenbezogenen Daten erhalten.

  Relevant DSGVO norms

  

  
  
  • Der Verantwortliche spezifiziert an welche Datenempfänger personenbezogene Daten übermittelt werden

    Der für die Verarbeitung Verantwortliche spezifiziert und dokumentiert, ob personenbezogene Daten an eine interne oder externe Stelle (insbesondere Unternehmen) übermittelt werden, die:
    
    1. befugt sind, die Daten unter der unmittelbaren Verantwortung des Verantwortlichen zu verarbeiten (interne Datenempfänger - siehe Art. 4 Abs. 10 DSGVO), oder
    2. Daten im Auftrag des Verantwortlichen verarbeiten (Auftragsverarbeiter Art. 4 Abs. 8 DSGVO), oder
    3. gemeinsam mitVerantwortlichen über die Zwecke und Mittel der Datenverarbeitung entscheiden (gemeinsam Verantwortliche Art. 4 Abs. 7 DSGVO),
    4. oder an eine Stelle, die keine der genannten Alternativen erfüllt (Dritter = eigenständiger Verantwortlicher) Art. 4 Abs. 10 DSGVO.

    Relevant DSGVO norms

    

    
    
  Relevant DSGVO norms

  

  
  

Relevant DSGVO norms

• Autragsverarbeitung

  Im Falle einer Auftragsverarbeitung schließt der Verantwortliche mit allen Auftragsverarbeitern einen Wirksamen Vertrag nach Art. 28 Abs. 3 DSGVO.

  Relevant DSGVO norms

  

  
  
  • Der Verantwortliche schließt mit allen Autragsverarbeitern einen wirksamen Auftargsverarbeitungs-Vertrag (AVV)
    Relevant DSGVO norms

    

    
    
    • a) Allgemeine Wirksamkeitsvoraussetzungen

      Die DPA wird in schriftlicher oder elektronischer Form ausgestellt und erfüllt alle allgemeinen Wirksamkeitsvoraussetzungen. Der Vertrag ist schriftlich oder elektronisch durch eine Person signiert, die jeweils zur Vertretung des Verantwortlichen und Auftragsverarbeiters befugt ist.

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • b) Inhalt des AVV

      Der Vertrag enthält alle wesentlichen Inhalte gem. Art. 28 DSGVO. Zur Einhaltung der Anforderungen aus Art. 28 Abs. 3 und 4 DSGVO kann der Vernatwortliche sich der Standartvertragsklauseln der EU-Kommission bedienen: https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32021D0915.

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • c) Data Protection by Design

      Der Verantwortliche implementiert Prozesse und Maßnahmen, um zu gewährleisten, dass die vertraglich vereinbarten Bestimmungen auch tatsächlich eingehalten werden.

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
  Relevant DSGVO norms

  

  
  

Relevant DSGVO norms

• Gemeinsame Verantwortlichkeit

  Im Falle der gemeinsamen Verantwortlichkeit schließt der Verantwortliche mit allen gemeinsam für die Datenverarbeitung verantwortlichen Akteuren eine Vereinbarung über die gemeinsame Datenverarbeitung gem. Art. 26 Abs. 1 DSGVO.

  Relevant DSGVO norms

  

  
  
  • Der Verantwortliche schließt mit allen gemeinsam Verantwortlichen eine Vereinbarung gem. Art. 26 DSGVO (Joint Controller Agreement - JCA)
    Relevant DSGVO norms

    

    
    
    • a) Allgemeine Wirksamkeitsvoraussetzungen

      Die Vereinbarung wird in schriftlicher oder elektronischer Form ausgestellt und erfüllt alle allgemeinen Wirksamkeitsvoraussetzungen (vgl. EDPB Guidelines 07/2020 on the concepts of controller and processor in the GDPR, Version 2.1, 173; Spoerr in: Wolff/Brink, Art. 26 Rn. 29; Hartung in: Kühling/Buchner, Art. 26, Rn. 26). Der Vertrag ist schriftlich oder elektronisch durch eine Person signiert, die jeweils zur Vertretung des Verantwortlichen und Auftragsverarbeiters befugt ist.

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • b) Inhalt der Vereinbarung

      In der Vereinbarung ist für jede Vertragspartei klar festgelegt, welche Aufgaben sie im Rahmen der Datenschutz-Grundverordnung zu erfüllen hat, und zwar insbesondere
      - die Umsetzung der allgemeinen Datenschutzgrundsätze (Art. 5 DSGVO)
      - das Vorliegen einer Rechtsgrundlage für die Datenverarbeitung (Art. 6 DSGVO)
      - die Transparenzanforderungen gemäß Art. 13 und 14 DSGVO
      - die Gewährung der Betroffenenrechte - dabei muss im Vertrag festgehalten werden, dass alle gemeinsam Verantwortlichen auf das Ersuchen einer betroffenen Person hin tätig werden müssen, unabhängig von der internen Verteilung der Verantwortlichkeiten (Art. 26 Abs. 3 DSGVO)
      - die Sicherheitsmaßnahmen (Art. 32 DSGVO)
      - die Benachrichtigung der Aufsichtsbehörde und der betroffenen Person bei einer Verletzung des Schutzes personenbezogener Daten (Art. 33 und 34 DSGVO)
      - die Datenschutz-Folgenabschätzung (Art. 35 und 36 DSGVO)
      - die Beauftragung eines Auftragsverarbeiters (Art. 28 DSGVO)
      - die Übermittlung von Daten in Drittländer (Art. 44 ff. DSGVO)
      - die verantwortliche Stelle und die Kontaktpersonen für die Kommunikation mit betroffenen Personen und den Aufsichtsbehörden.

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
    • c) Data Protection by Design

      Der Verantwortliche überprüft regelmäßig, ob die vertraglich vereinbarte Zuweisung der Verantwortung den jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen entspricht (Art. 26 Abs. 2 DSGVO).
      Der Verantwortliche implementiert Prozesse und Maßnahmen, um zu gewährleisten, dass die vertraglich vereinbarten Bestimmungen auch tatsächlich eingehalten werden.

      Relevant DSGVO norms

      

      
      
    Relevant DSGVO norms

    

    
    
  Relevant DSGVO norms

  

  
  

Relevant DSGVO norms

Dokumentation

Art. 30, Art. 5 Abs. 2, Art. 24 Abs. 1, Art. 7 Abs. 1, Art. 12 Abs. 1, Art. 25 Abs. 1, Art. 26 Abs. 1, 2, Art. 28 Abs. 3, 4, 9, Art. 33 Abs. 5, Art. 35 DSGVO

Kurz & bündig: Der Verantwortliche erfüllt alle Dokumentations- und Nachweispflichten der DSGVO.

Relevant DSGVO norms

• Dokumentation sämtlicher Verarbeitungstätigkeiten und Schutzmaßnahmen

  Der Verantwortliche erfüllt sämtliche Dokumentationspfichten der DSGVO

  Relevant DSGVO norms

  

  
  
  • 1. Verarbeitungsverzeichnis

    Der Verantwortliche dokumentiert in dem Verzeichnis der Verarbeitungstätigkeiten alle folgenden Informationen gem. Art. 30 DSGVO:
    - den Namen und die Kontaktdaten des für die Verarbeitung Verantwortlichen und gegebenenfalls des gemeinsam für die Verarbeitung Verantwortlichen, des Vertreters des für die Verarbeitung Verantwortlichen und des Datenschutzbeauftragten,
    - die Zwecke der Verarbeitung,
    - eine Beschreibung der Kategorien von betroffenen Personen und der Kategorien von personenbezogenen Daten;
    - die Kategorien von Empfängern, an die personenbezogene Daten weitergegeben wurden oder werden, und gegebenenfalls die AVV und JCA, die mit diesen Datenempfängern geschlossen wurden,
    - gegebenenfalls die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation,
    - wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien,
    - wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen gemäß Art. 32 Abs. 1 DSGVO.

    Relevant DSGVO norms

    

    
    
  Relevant DSGVO norms

  

  
  
  • 2. Zusätzliche Dokumentationspflichten

    Um den Nachweis erbringen zu können, dass alle Anforderungen der DSGVO eingehalten werden, denen der Verantwortliche unterliegt, sollten alle Risikoprüfungen, Prozesse, und Maßnahmen, die der Verantwortliche zur Umsetzung der Anforderungen der DSGVO vorgenommen hat, dokumentieren.

    Relevant DSGVO norms

    

    
    
  Relevant DSGVO norms

  

  
  

Relevant DSGVO norms

Literatur

None

- Article 29 Data Protection Working Party, Guideline on Personal data breach notification under Regulation 2016/679, endorsed by EDPB in Endorsement 1/2018, WP250 rev.01, 06 February 2018
- Article 29 Data Protection Working Party, Guidelines on Data Protection Impact Assessment (DPIA), endorsed by EDPB in Endorsement 1/2018, WP248 rev.01, 04 October 2017
- Article 29 Data Protection Working Party, Guidelines on Data Protection Officers (‘DPOs’), endorsed by EDPB in Endorsement 1/2018, WP243 rev.01, 05 April 2017
- Article 29 Data Protection Working Party, Guidelines on the right to data portability, endorsed by EDPB in Endorsement 1/2018, WP242 rev.01, 05 April 2017
- Article 29 Data Protection Working Party, Guidelines on transparency under Regulation 2016/679, endorsed by EDPB in Endorsement 1/2018, WP260 rev.01, 11 April 2018
- Article 29 Data Protection Working Party, Opinion on purpose limitation, WP203, 02 April 2013
- Article 29 Data Protection Working Party, Stellungnahme 06/2014 zum Begriff des berechtigten Interesses https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_de.pdf
- Article 29 Data Protection Working Party, Leitlinien für Transparenz gemäß der Verordnung 2016/679, endorsed durch EDPB
- Article 29 Data Protection Working Party, Stellungnahme 5/2014 zu Anonymisierungstechniken
- Becker et al., Metastudie zur Verbesserung der Datengrundlage im Gebäudebereich, BMWK-Projekt-Nr.: 115/21-5, Berlin, München 2022
- Begleitforschung Energwiewendebauen, Messleitfaden für Demonstrationsvorhaben im Bereich „Energie in Gebäuden und Quartieren“ Update: 29.09.2020, https://www.energiewendebauen.de/lw_resource/datapool/systemfiles/cbox/3051/live/lw_datei/messleitfaden_update_2020_v2.pdf - last accessed in August 2024
- BfDi, Positionspapier zur Anonymisierung unter der DSGVO unter besonderer Berücksichtigung der TK-Branche, 29 June 2020
- BSI, ISMS.1 Sicherheitsmanagement, February 2021
- BSI Grundschutzkompendium Baustein CON.6 Löschen und Vernichten
- DSK, Kurzpapier Nr. 6 Auskunftsrecht der betroffenen Person, Art. 15 DS-GVO,17 December 2018
- DSK, Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1.12.2021, Version 1.1, December 2022
- DSK, SDM Baustein 42 „Dokumentieren“, Version V1.0a, 02 September 2020
- DSK, SDM Baustein 50 “Trennen”, Version V1.90, 06 October 2020
- DSK, SDM Baustein 60 “Löschen und Vernichten”, Version V1.0a, 02 September 2020
- DSK, SDM Baustein 61 „Berichtigen“, Version V1.0, 06 October 2020
- DSK, SDM Baustein 62 „Einschränken der Verarbeitung“, Version V1.0, 06 October 2020
- DSK, Stellungnahme zu Funkwasserzählern, 2023
- DSK Muster Verarbeitungsverzeichnis Verantwortlicher https://www.datenschutz-mv.de/static/DS/Dateien/DS-GVO/HilfsmittelzurUmsetzung/VVT/MusterVerarbeitungsverzeichnisVerantwortlicher.pdf
- DSK Hinweise zum Verzeichnis von Verarbeitungstätigkeiten https://www.datenschutz-mv.de/static/DS/Dateien/DS-GVO/HilfsmittelzurUmsetzung/VVT/HinweisezumVerzeichnisvonVerarbeitungstaetigkeiten.pdf
- DSK Kurzpapier Nr. 18, Risiko für die Rechte und Freiheiten natürlicher Personen
- DSK Kurzpapier Nr. 20: Einwilligung nach der DS-GVO Stand: 22.02.19 https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_20.pdf
- DSK, SDM Baustein 41, V2.0b, Planen und Spezifizieren, V1.0
- DSK, SDM Baustein 51 "Zugriffe regeln"
- EDPB, Guidelines 01/2022 on data subject rights, Version 2.0, 28 March 20223
- EDPB, Guidelines 05/2020 on consent under Regulation 2016/679, Version 1.1, 04 May 2020
- EDPB, Guidelines 07/2020 on the concepts of controller and processor in the GDPR, Version 2.1, 07 July 2021
- EDPB, Guidelines 4/2019 on Article 25 Data Protection by Design and by Default, Version 2.0, 20 October 2020
- EDPB, Leitlinien 2/2019 zur Verarbeitung personenbezogener Daten gemäß Artikel 6 Absatz 1 Buchstabe b DSGVO, Version 2.0, 8. Oktober 2019
- Elliot et al., The Anonymisation Decision-Making Framework 2nd Edition: European Practitioners’ Guide, 2020
- European Commission, Adequacy Decision Republic of Korea, C(2021) 9316, 17 December 2021
- European Commission, Adequacy Decision United Kingdom - GDPR, C(201) 4800, 28.06.2021
- European Commission, Adequacy Decision United Kingdom - LED, C(2021) 4801, 28.06.2021
- European Commission, Adequacy Decision, EU-US Data Privacy Framework, C(2023) 4745 final, 20.07.2023
- European Commission, Annex I List of Parties of the Annex to the Commission implementing decision on standard contractual clauses between controllers and processors, C(2021) 3701 final, 4.6.2021
- European Commission, Report on Adequacy Decision Japan, COM(2023) 275 final, 03 April 2023
- European Commission, Report on Adequacy Decision, COM(2024) 7 final, 15 January 2024
- EWB, S. 44 ff. - https://www.energiewendebauen.de/lw_resource/datapool/systemfiles/cbox/3051/live/lw_datei/messleitfaden_update_2020_v2.pdf)
- Gadotti et al., Anonymization: The imperfect science of using data while preserving privacy, DOI:10.1126/sciadv.adn7053
- GDD, Datenschutzgerechte Datenträgervernichtung, https://www.gdd.de/wp-content/uploads/2023/06/Datenschutzgerechte-Datentraegervernichtung-4.-Aufl.-2019.pdf
- Greveler et al., Multimedia Content Identification Through Smart Meter Power Usage Profiles, 2012
- Grünewald; Pallas, TILT: A GDPR-Aligned Transparency Information Language and Toolkit for Practical Privacy Engineering, https://doi.org/10.1145/3442188.3445925, 2021
- IAPP Guidance on Legitimate Interests: https://iapp.org/media/pdf/resource_center/data_protection_network_legitimate_interests_gdpr.pdf
- Kühling; Buchner Kommentar zur Datenschutzgrundverordnung/BDSG, 4. Auflage 2024
- Leibold: Übersicht über den Inhalt des Auskunftsanspruchs nach Art. 15 DS-GVO ab dem Jahr 2023, ZD-Aktuell 2024, 01527
- LG Berlin, Decision 16 O 420/19 regarding the duty to respect signals of the do not track standard, 31 August 2023
- Morgner et al., Privacy Implications of Room Climate Data, 2017
- Richter et al., Machtförmige Praktiken durch Sensordaten in Wohnungen, 2018
- Rupp; v. Grafenstein, Clarifying Personal Data and the and the role of anonymisation in data protection law, https://doi.org/10.1016/j.clsr.2023.105932, CLSR 2024, 8 ff.
- v. Grafenstein, Jakobi, Stevens, Effective data protection by design through interdisciplinary research methods: The example of effective purpose specification by applying user-Centred UX-design methods, Computer Law & Security Review, 46, 2021 DOI: 10.1016/j.clsr.2022.105722
- v. Grafenstein, Kiefaber., Heumüller, Rupp., Graßl., Kolless, Puzst, Privacy icons as a component of effective transparency and controls under the GDPR: effective data protection by design based on art. 25 GDPR, Computer Law & Security Review, Volume 52, 2024 DOI:10.1016/j.clsr.2023.105924
- v. Grafenstein, Refining the Concept of the Right to Data Protection in Article 8 ECFR Part I, EDPL 2020
- v. Grafenstein, Refining the Concept of the Right to Data Protection in Article 8 ECFR Part II, EDPL 2021
- v. Grafenstein, Refining the Concept of the Right to Data Protection in Article 8 ECFR Part III, EDPL 2021
- https://www.datenschutz-mv.de/static/DS/Dateien/Entschliessungen/Datenschutz/105_SN_Funkwasserzaehler_K.pdf
- https://www.datenschutz-mv.de/static/DS/Dateien/Entschliessungen/Datenschutz/20210315_Beschluss_Energieversorgerpool.pdf

Relevant DSGVO norms