jedoch nichts. Auswirkungen hat das Vorliegen einer Unternehmensgruppe aber bei der nach Art. 6 Abs. 1 Satz 1 lit. f DSGVO notwendigen Interessenabwägung im Rahmen der Entscheidung, ob ein Erlaubnistatbestand greift. Hierzu legt ErwG 48 DSGVO fest, dass die Übermittlung von Daten innerhalb einer Unternehmensgruppe ein berechtigtes Interesse darstellt. Diese Feststellung wird auch als „kleines Konzernprivileg“ bezeichnet.
|
|
|
| Das aus dem Aktienrecht bekannte Konzernprivileg {Konzernprivileg} war im deutschen Datenschutzrecht bisher nicht anerkannt. Mit der DSGVO wird der Datenaustausch im Konzern auf der Grundlage von Einwilligungen (Art. 7 DSGVO) oder dem Instrument der Auftragsverarbeitung (Art. 28 DSGVO) erschwert, allerdings durch Art. 6 Abs. 1 DSGVO auch erleichtert. Der konzerninterne Datenaustausch kann als „berechtigtes Interesse“ angesehen werden. Der ErwG 48 DSGVO erkennt für den Konzern „interne Verwaltungszwecke“ als ein berechtigtes Interesse an, welches allerdings entsprechend zu belegen und zu dokumentieren ist. | |
Begriffsbestimmung
Die Anonymisierung {Anonymisierung} ist das Verändern personenbezogener Daten derart, dass diese Daten nicht mehr einer Person zugeordnet werden können. Bei der Pseudonymisierung {Pseudonymisierung} wird der Name oder ein anderes Identifikationsmerkmal durch ein Pseudonym (zumeist eine mehrstellige Buchstaben- oder Zahlenkombination, auch Code genannt) ersetzt, um die Feststellung der Identität der betroffenen Person auszuschließen (vgl. § 3 Abs. 6a BDSG a. F. bzw. § 46 Nr. 5 BDSG).
Die DSGVO kennt den Begriff Anonymisierung nicht. Gleichwohl können personenbezogene Daten anonymisiert werden, um damit den Schutz der personenbezogenen Daten zu gewährleisten. Es ist nachvollziehbar, warum die DSGVO diesen Begriff nicht (mehr) regelt: Mit anonymisierten Daten ist eine natürliche Person nicht mehr identifizierbar.
Kapitel II – Grundsätze
Neben den Regelungen zur Rechtmäßigkeit und zu den Erlaubnisvorbehalten finden sich in Artt. 5–11 DSGVO Regelungen zur Datensparsamkeit, Transparenz und Einwilligung.
Kapitel III – Rechte der betroffenen Person
In Kap. III sind alle Rechte der betroffenen Person (
| • | Artt. 12–15 DSGVO: Transparenz, Informationspflicht, Recht auf Auskunft |
| • | Artt. 16–20 DSGVO: Berichtigung und Löschung |
| • | Artt. 21–22 DSGVO: Widerspruchsrecht |
| • | Art. 23 DSGVO: Beschränkungen |
Das „Recht auf Datenübertragbarkeit“ (Datenportabilität {Datenportabilität};
Der Grundgedanke der Datenübertragbarkeit ist, dass eine betroffene Person, wenn sie es wünscht, von dem Verantwortlichen die personenbezogenen Daten, die sich auf sie beziehen, erhält. Sie soll dadurch die Möglichkeit erhalten, diese Daten in das Verarbeitungssystem eines anderen Verantwortlichen übertragen zu können bzw. diese direkt zwischen den Verantwortlichen übertragen zu lassen.
Kapitel IV – Verantwortlicher und Auftragsverarbeiter
In Kap. IV sind die Rechte und Pflichten der Unternehmen im Rahmen der Verarbeitung von personenbezogenen Daten geregelt. Diese gliedern sich in die folgenden Abschnitte:
| • | Artt. 24–31 DSGVO: Verantwortliche und Auftragsverarbeiter |
| • | Artt. 32–34 DSGVO: Sicherheit personenbezogener Daten |
| • | Artt. 35–36 DSGVO: Datenschutz-Folgenabschätzung |
| • | Artt. 37–39 DSGVO: Datenschutzbeauftragter |
| • | Artt. 40–43 DSGVO: Verhaltensregeln und Zertifizierungen |
Hier ist insbesondere der Art. 28 DSGVO hervorzuheben, welcher die Bedingungen für die Verarbeitung im Auftrag regelt (sog. Auftragsverarbeitung). Des Weiteren sollte der Art. 32 DSGVO – Sicherheit der Verarbeitung (ErwG 83 DSGVO) beachtet werden. Personenbezogene Daten bedürfen demnach eines technischen und organisatorischen Schutzes.
Kapitel V – Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen
Das Kap. V dient vorrangig der Verbesserung und Konkretisierung der bisherigen europäischen Rechtslage zum Datentransfer in ein Drittland. Hier ist insbesondere der folgende Abschnitt zu nennen:
| • | Artt. 44–50 DSGVO: Übermittlung personenbezogener Daten an Drittländer |
Das vorgegebene hohe Datenschutzniveau innerhalb der EU soll auch bei einer Übermittlung in ein Drittland gewährleistet und nicht unterlaufen werden können.
Kapitel VI – Unabhängige Aufsichtsbehörden
Die Aufsichtsbehörden der EU sind unabhängige Behörden (Art. 8 Abs. 3 GRCh und Art. 16 Abs. 2 AEUV). In Kap. V sind die folgenden Abschnitte relevant:
| • | Artt. 51–59 DSGVO: Unabhängige Aufsichtsbehörden |
Die Anwendung und Kontrolle der DSGVO bleibt in der Zuständigkeit von mitgliedstaatlichen Behörden. Des Weiteren verpflichtet das Kap. VI die Aufsichtsbehörden für Datenschutz zur Zusammenarbeit. Die konkrete Ausgestaltung der Behörden überlässt die Verordnung den EU-Mitgliedstaaten.
Kapitel VII – Zusammenarbeit und Kohärenz
In diesem Kapitel wird die Zusammenarbeit der Aufsichtsbehörden geregelt, u. a. auch die gegenseitige Amtshilfe, gemeinsame Maßnahmen sowie der Informationsaustausch untereinander. Die detaillierten Beschreibungen finden sich hier:
| • | Artt. 60–76 DSGVO: Zusammenarbeit und Kohärenz |
Eine fundamentale Neuerung der DSGVO ist der sog. One-Stop-Shop {One-Stop-Shop}-Mechanismus. Für Unternehmen, die eine oder mehrere unselbstständige Niederlassungen in der EU haben, ist bei der grenzüberschreitenden Datenverarbeitung nur die Aufsichtsbehörde der Hauptniederlassung oder einzigen Niederlassung in der EU zuständig (
Kapitel VIII – Rechtsbehelfe, Haftung und Sanktionen
Kapitel VIII regelt das Recht der Beschwerde einer betroffenen Person bei einer Aufsichtsbehörde, zu finden unter:
| • | Artt. 77–84 DSGVO: Rechtsbehelfe, Haftung und Sanktionen |
Das Beschwerderecht ist dem Petitionsrecht (Art. 17 GG) wesensgleich. Des Weiteren wird hier das Verbandsklagerecht geregelt (in Deutschland: Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (UKlaG)).
Kapitel IX – Vorschriften für besondere Verarbeitungssituationen
| • | Mit Art. 85 DSGVO wurde eine Öffnungsklausel geschaffen, die einen weitreichenden Regulierungsspielraum zum Schutz der Meinungs- und Informationsfreiheit eröffnet. |
|
•
|