FAQ

Sie haben noch keine Antwort auf Ihre Frage gefunden oder möchten mehr über die Datenschutz-Grundverordnung erfahren? Hier ist die Liste der am häufigsten gestellten Fragen zum Thema.

Die nachstehenden Beiträge greifen häufig gestellte Fragen im Zusammenhang mit der Datenschutz-Grundverordnung und dem DSG NRW auf. Sie dienen dem Einstieg in die Rechtsmaterie und der Orientierung, erheben jedoch keinen Anspruch auf Vollständigkeit und ersetzen insbesondere keine einzelfallbezogene Betrachtung sowie Beratung durch die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen.

Welcher neue Rechtsrahmen gilt seit dem 25.05.2018?

Seit dem 25. Mai 2018 gilt die Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung). Als Verordnung stellt sie unmittelbar geltendes und von den öffentlichen Stellen des Landes Nordrhein-Westfalen anzuwendendes Recht dar, das den nationalen Regelungen im Datenschutz vorgeht. Grundlegende und wesentliche Bestimmungen ergeben sich nunmehr direkt aus der Datenschutz-Grundverordnung. Die Verordnung weist aber auch Öffnungsklauseln auf und enthält darüber hinaus konkrete Regelungsaufträge für den nationalen Gesetzgeber. In diesen Bereichen wird die DSGVO durch bundes- und insbesondere für öffentliche Stellen auch durch landesrechtliche Bestimmungen ergänzt und konkretisiert.

Daneben steht die Richtlinie (EU) 2016/680 (JI-Richtlinie) zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr. Diese Richtlinie gilt nicht unmittelbar und musste von den Mitgliedstaaten ins nationale Recht umgesetzt werden.

Diese neuen datenschutzrechtlichen Bestimmungen haben eine umfassende Neugestaltung nationaler Regelungen mit sich gebracht. Das neue Datenschutzrecht des Bundes und des Landes Nordrhein-Westfalen ist im Wesentlichen mit der Neukonzeptionierung des Bundesdatenschutzgesetzes (BDSG) sowie des Landesdatenschutzgesetzes (DSG NRW) angepasst und umgesetzt worden. Die weitere Anpassung bezogen auf die DSGVO sowie die weitere Umsetzung bezogen auf die JI-Richtlinie erfolgt in den jeweiligen Fachgesetzen.

Das am 25. Mai 2018 in Kraft getretene BDSG gilt für öffentliche Stellen des Bundes und für alle nicht-öffentliche Stellen.

Für die öffentlichen Stellen des Landes Nordrhein-Westfalen gilt das ebenfalls am 25. Mai 2018 in Kraft getretene DSG NRW. Das neukonzipierte Landesdatenschutzgesetz ergänzt zum einen die unmittelbar geltende Datenschutz-Grundverordnung um die Bereiche, in denen die Verordnung Gestaltungsspielräume zulässt. Zum anderen werden im DSG NRW auch wesentliche Teile der JI-Richtlinie umgesetzt.

Daraus ergibt sich folgende Struktur des DSG NRW:

Teil 1 enthält gemeinsame Bestimmungen für den Regelungsbereich der Datenschutz-Grundverordnung und der JI-Richtlinie, insbesondere zur Sicherstellung des Datenschutzes und zur Zulässigkeit der Verarbeitung personenbezogener Daten.

In Teil 2 finden sich ergänzende Durchführungsbestimmungen zur Datenschutz-Grundverordnung, unter anderem zur Datenübermittlung durch öffentliche Stellen, zur Weiterverarbeitung zu anderen Zwecken, zur Verarbeitung besonderer Kategorien sowie Bestimmungen zu den Betroffenenrechten und zu den Aufgaben und Befugnissen der Aufsichtsbehörde. Insoweit ist das DSG NRW kein Vollrecht mehr. Die Vorschriften sind in Ergänzung zur DSGVO anzuwenden, soweit vorrangiges Fachrecht keine speziellen Regelungen getroffen hat.

Teil 3 setzt die JI-Richtlinie um und enthält spezielle Bestimmungen nur für bestimmte öffentliche Stellen, unter anderem für den Bereich der Polizei und Justiz im Rahmen ihrer originären Tätigkeit sowie auch für Ordnungsbehörden im Zusammenhang mit der Verfolgung und Ahndung von Ordnungswidrigkeiten.

 

Für wen gilt die Datenschutz-Grundverordnung?

Einzelheiten hierzu regeln die Artikel 2 und 3 der Datenschutz-Grundverordnung.

Grundsätzlich haben alle öffentlichen Stellen bei der Verarbeitung personenbezogener Daten die Datenschutz-Grundverordnung zu beachten.

Ausnahmen nach der Datenschutz-Grundverordnung gelten unter anderem

  • bei der nicht automatisierten Verarbeitung personenbezogener Daten, die nicht in einem Dateisystem gespeichert sind oder gespeichert werden sollen - beispielsweise Akten und Aktensammlungen, die nicht nach bestimmten Kriterien geordnet sind;
  • für Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen - insbesondere die nationale Sicherheit betreffende Tätigkeiten;
  • für die Datenverarbeitung im Anwendungsbereich der JI-Richtlinie.

Gemäß § 5 Absatz 8 DSG NRW wird allerdings durch eine Auffangvorschrift die Geltung der Datenschutz-Grundverordnung auch für Verarbeitungen angeordnet, die nicht dem originären Anwendungsbereich der Verordnung unterfallen. Diese Auffangvorschrift gilt nur, soweit das DSG NRW selbst oder fachspezifisches Recht nichts Abweichendes regelt. Dadurch wird sichergestellt, dass für jegliche Verarbeitung personenbezogener Daten durch öffentliche Stellen ein grundsätzlich einheitlicher Rechtsrahmen gilt. Soweit die DSGVO hierdurch nur entsprechend zur Anwendung kommt, gelten die Informationspflichten des Verantwortlichen nach Artikel 13 und 14 DSGVO zwecks Vermeidung der Überbürokratisierung des Datenschutzes nicht (vgl. § 5 Absatz 9 DSG NRW).

Im Ergebnis gilt die DSGVO grundsätzlich für alle dem DSG NRW unterfallenden öffentlichen Stellen, sofern für diese und die konkrete Verarbeitung nicht die JI-Richtlinie und damit ausschließlich Teil 3 des DSG NRW einschließlich bereichsspezifischen Rechts einschlägig ist. Abweichungen können sich aus dem DSG NRW selbst oder aus Spezialgesetzen ergeben.

Für wen gelten die Durchführungsbestimmungen in Teil 2 des DSG NRW?

Für wen die in Ergänzung zur Datenschutz-Grundverordnung in Teil 2 des DSG NRW geregelten Bestimmungen gelten und für welche Bereiche Ausnahmen vorgesehen sind, ergibt sich aus § 5 DSG NRW.
Folgende öffentliche Stellen im Sinne des DSG NRW unterfallen uneingeschränkt den Durchführungsbestimmungen in Teil 2 des DSG NRW:

  • Behörden, Einrichtungen und sonstige öffentliche Stellen des Landes,
  • die Gemeinden und Gemeindeverbände,
  • sonstige der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts und - soweit diese Aufgaben der öffentlichen Verwaltung wahrnehmen ungeachtet der Rechtsform - deren Vereinigungen,
  • Schulen der Gemeinden und Gemeindeverbände, soweit sie in inneren Schulangelegenheiten personenbezogene Daten verarbeiten, sowie
  • nicht-öffentliche Stellen, die hoheitliche Aufgaben einer öffentlichen Stelle des Landes wahrnehmen.

Für den Landtag, den Landesrechnungshof und die staatlichen Rechnungsprüfungsämter sowie die Gerichte und die Behörden der Staatsanwaltschaft gelten die Regelungen in Teil 2 des DSG NRW nur, soweit diese Verwaltungsaufgaben wahrnehmen, also nur für den Bereich der sogenannten Innenverwaltung.

Juristische Personen des Privatrechts unterfallen dem Anwendungsbereich des DSG NRW nur, soweit diese Befugnisse der Verwaltung und hoheitliche Aufgaben der öffentlichen Verwaltung des Landes wahrnehmen. Im Übrigen finden - wie schon nach dem bisherigen Recht - die Regelungen des Bundesdatenschutzgesetzes zur Datenverarbeitung durch nicht-öffentliche Stellen Anwendung. Das gilt insbesondere auch für sogenannte Eigengesellschaften von kommunalen Gebietskörperschaften oder des Landes NRW, das heißt rechtlich selbständige wirtschaftliche und in privatrechtlicher Form organisierte Unternehmen wie Gesellschaften mit beschränkter Haftung (GmbH) oder Aktiengesellschaften (AG). Für die Anwendung des DSG NRW ist bei juristischen Personen des Privatrechts die Wahrnehmung hoheitlicher Aufgaben des Landes NRW maßgeblich und nicht etwa die Beteiligung von dem DSG NRW unterfallenden öffentlichen Stellen.

Für kommunale Eigenbetriebe, das heißt wirtschaftliche Unternehmen kommunaler Gebietskörperschaften ohne eigene Rechtspersönlichkeit, und andere in § 5 Absatz 5 Satz 1 DSG NRW genannte wirtschaftlich tätige öffentliche Stellen wird der Anwendungsbereich des DSG NRW auf die Vorschriften zu besonderen Verarbeitungssituationen sowie die Kontrollvorschriften begrenzt und im Übrigen auf die Vorschriften des Bundesdatenschutzgesetzes für nicht-öffentliche Stellen verwiesen. Wie schon nach bisheriger gesetzgeberischer Wertung werden wirtschaftlich tätige öffentliche Stellen den privaten Unternehmen grundsätzlich gleichgestellt, soweit diese personenbezogene Daten zu wirtschaftlichen Zwecken oder Zielen verarbeiten. Neu aufgenommen und von der Ausnahmeregelung erfasst sind die Landesbetriebe, die wie IT NRW ebenfalls wirtschaftlich tätig sein können, und die NRW.BANK. Für Hochschulen gilt die Ausnahmeregelung nicht und damit das DSG NRW, soweit sie Aufgaben nach § 3 des Hochschulgesetzes wahrnehmen.

Für wen gelten die Regelungen zur JI-Richtlinie in Teil 3 des DSG NRW?

Teil 3 dient ausschließlich der Umsetzung der JI-Richtlinie. Die entsprechenden Vorschriften gelten daher lediglich für die Verarbeitung durch solche öffentliche Stellen, die unter anderem für die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung zuständig sind. Erfasst sind hiervon gemäß § 35 Absatz 1 DSG NRW insbesondere die Polizeibehörden und die Justizbehörden sowie die Behörden der Finanzverwaltung.

Für Ordnungsbehörden gelten die Vorschriften des dritten Teils gemäß § 35 Absatz 2 DSG NRW, soweit sie - und nur dann - Ordnungswidrigkeiten verfolgen, ahnden, sowie Sanktionen vollstrecken. Dass die Ordnungsbehörden insoweit der JI-Richtlinie unterfallen, ergibt sich aus den Erwägungsgründen 11-13 zur JI-Richtlinie. Daraus folgt, dass nicht nur Justizbehörden, die Polizei oder andere Strafverfolgungsbehörden von der Richtlinie erfasst sind, sondern auch sonstige Stellen und Einrichtungen, denen durch nationale Regelungen die Ausübung öffentlicher Gewalt und hoheitlicher Befugnisse für die Zwecke der JI-Richtlinie übertragen worden sind, zu denen auch die Aufrechterhaltung der öffentlichen Ordnung gehört. Soweit die JI-Richtlinie von Straftaten spricht, ist nicht das deutsche Verständnis zu Grunde zu legen und der Anwendungsbereich auf diese zu begrenzen, da dem Unionsrecht und vielen Mitgliedstaaten die Unterscheidung von Straftaten und Ordnungswidrigkeiten fremd ist. „Straftat“ im Sinne der JI-Richtlinie ist vielmehr als eigenständiger unionsrechtlicher Begriff zu verstehen.

Nicht der JI-Richtlinie unterfallen die Ordnungsbehörden, soweit sie im Rahmen der Gefahrenabwehr tätig werden. Bei der Verarbeitung personenbezogener Daten zur Abwehr von Gefahren sind daher die Bestimmunen der DSGVO sowie die ergänzenden Durchführungsbestimmungen in Teil 2 des DSG NRW zu beachten - insoweit gilt Teil 3 des DSG NRW nicht.

Die dem Anwendungsbereich der JI-Richtlinie und damit dem Teil 3 DSG NRW unterfallenden öffentlichen Stellen werden in § 35 Absatz 1 und Absatz 2 DSG NRW aufgezählt. Daraus ergibt sich gleichzeitig, wann die entsprechenden Vorschriften für die betroffenen öffentlichen Stellen nicht gelten: Soweit sie reine Verwaltungsangelegenheiten wahrnehmen, greifen die speziellen Bestimmungen des dritten Teils nicht und es sind die Regelungen der DSGVO und in Ergänzung dazu Teil 2 des DSG NRW einschlägig.

Gemäß § 35 Absatz 3 DSG NRW ist auch hier gegebenenfalls vorrangiges fachspezifisches Recht anzuwenden.
Aus dieser gesetzlichen Konzeption folgt:

  • Sofern öffentliche Stellen des Landes NRW dem in § 35 DSG NRW konkretisierten Anwendungsbereich der JI-Richtlinie unterfallen, müssen diese bei der Verarbeitung personenbezogener Daten Teil 3 des DSG NRW als Vollrecht sowie gegebenenfalls fachspezifisches Recht beachten. Die DSGVO gilt insoweit nicht.
  • Sofern öffentliche Stellen im Sinne des § 35 DSG NRW mit der Datenverarbeitung reine Verwaltungsaufgaben wahrnehmen, fallen diese in den Anwendungsbereich der DSGVO und sie müssen in Ergänzung dazu auch die Bestimmungen in Teil 2 des DSG NRW sowie gegebenenfalls vorrangiges Fachrecht anwenden. Insoweit gilt wiederum Teil 3 des DSG NRW nicht.
  • Die Anwendungsbereiche der DSGVO und der JI-Richtlinie schließen sich bezogen auf dieselbe Verarbeitungstätigkeit gegenseitig aus.
Wie ist das Verhältnis der Datenschutz-Grundverordnung zu den bisherigen Datenschutzregelungen im nationalen Recht?

Mit Inkrafttreten des NRW Datenschutz-Anpassungs-und Umsetzungsgesetzes EU am 25. Mai 2018 sind das allgemeine Datenschutzgesetz und einige Fachgesetze an die DSGVO angepasst worden. Der Landesgesetzgeber ist außerdem dabei, weiteres bereichsspezifisches Recht an das neue europäische Datenschutzgesetz anzupassen. Bis dahin kann es in der Praxis zu Auslegungsfragen der noch nicht angepassten Gesetze kommen, besonders weil erforderliche Bezüge zur DSGVO fehlen. In diesen Fällen ist der Anwendungsvorrang des EU-Rechts gegenüber dem nationalen Recht zu beachten. Die entsprechenden Vorschriften sind EU-rechtskonform auszulegen.

Wo finde ich die wichtigsten Begriffsbestimmungen?

Wichtige Begriffsbestimmungen sind unmittelbar in der DSGVO geregelt. Zentrale Definitionsnorm ist dabei Artikel 4 DSGVO. Daraus ergeben sich die Definitionen für wesentliche Begriffe wie zum Beispiel „personenbezogene Daten“, „Verarbeitung“, „Verantwortlicher“, „Auftragsverarbeiter“ oder „Empfänger“. Einige Legaldefinitionen finden sich auch in Artikel 5 DSGVO.

Das Landesdatenschutzgesetz enthält lediglich bezogen auf den Anwendungsbereich der DSGVO mit der Vorschrift des § 4 DSG NRW und der Konkretisierung des Begriffs „Anonymisieren“ eine ergänzende Begriffsbestimmung. Bezogen auf die Umsetzung der JI-Richtlinie enthält das DSG NRW in § 36 DSG NRW eigene Begriffsbestimmungen.

 

Wer ist Verantwortlicher im Sinne der Datenschutz-Grundverordnung?

Die Datenschutzregelungen richten sich primär an den Verantwortlichen. Dem Verantwortlichen im Sinne der Datenschutz-Grundverordnung kommt daher eine zentrale Bedeutung zu.

Nach Artikel 4 Nummer 7 DSGVO ist Verantwortlicher die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Abzustellen ist auf die Organisationseinheit, unabhängig von der fachlichen und innerorganisatorischen Verantwortlichkeit der handelnden natürlichen Person. Abteilungen, Referate oder Dezernate und sonstige unselbständige Untereinheiten sind Teile der Organisation und daher nicht Verantwortliche. Sie können aber nach wie vor im Rahmen ihrer Zuständigkeit für den Verantwortlichen handeln.

Im Anwendungsbereich des Landesdatenschutzgesetzes ist die öffentliche Stelle im Sinne des § 5 Absatz 1 DSG NRW datenschutzrechtlich verantwortlich, das heißt die Behörde, die Gemeinde oder eine sonstige öffentliche Stelle des Landes Nordrhein-Westfalen. Die Verantwortung für die Einhaltung der Datenschutzbestimmungen trägt der Leiter der jeweiligen öffentlichen Stelle.

Bei gemeinsam für die Verarbeitung Verantwortlichen ist Artikel 26 DSGVO zu beachten.

Wann ist die Verarbeitung personenbezogener Daten zulässig?

Das aus dem alten Recht bekannte Prinzip des Verbots mit Erlaubnisvorbehalt gilt auch nach neuem Recht. Für die Zulässigkeit der Verarbeitung von personenbezogenen Daten bedarf es einer legitimierenden Rechtsgrundlage. Zentrale Vorschrift ist dabei Artikel 6 DSGVO.

Rechtmäßig ist die Verarbeitung personenbezogener Daten demnach nur, wenn und soweit

  • die betroffene Person eingewilligt hat (Artikel 6 Absatz 1 lit. a) DSGVO)

oder die Verarbeitung erforderlich ist,

  • für die Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen (Artikel 6 Absatz 1 lit. b) DSGVO),
  • zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen (Artikel 6 Absatz 1 lit. c) DSGVO),
  • zum Schutz lebenswichtiger Interessen der betroffenen oder einer anderen natürlichen Person (Artikel 6 Absatz 1 lit. d) DSGVO),
  • für die Wahrnehmung einer im öffentlichen Interesse liegenden oder in Ausübung hoheitlicher Gewalt erfolgenden Aufgabe des Verantwortlichen (Artikel 6 Absatz 1 lit. e) DSGVO) oder
  • zur Wahrung berechtigter Interessen des Verantwortlichen oder Dritten, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen (Artikel 6 Absatz 1 lit. f) DSGVO).

Die Erlaubnistatbestände sind in Artikel 6 Absatz 1 DSGVO abschließend geregelt und gelten - bis auf Buchstabe c und e - unmittelbar. Die Verarbeitung kann insoweit direkt auf die Vorschrift gestützt werden. Dabei ist zu beachten, dass Artikel 6 Absatz 1 lit. f) DSGVO im Regelfall für Behörden nicht als Rechtsgrundlage für die Datenverarbeitung in Erfüllung ihr zugewiesener Aufgaben dient.

Nach Artikel 6 Absatz 3 DSGVO bedarf es für die Rechtmäßigkeit der Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung (Artikel 6 Absatz 1 lit. c) DSGVO) oder zur Wahrnehmung einer öffentlichen Aufgabe (Artikel 6 Absatz 1 lit. e) einer Rechtsvorschrift der EU oder des EU-Mitgliedstaates. Der nationale Gesetzgeber darf und soll hier die Anforderungen an die Zulässigkeit konkretisieren. Insoweit haben die Vorschriften Richtliniencharakter. Viele Rechtsgrundlagen für die Datenverarbeitung durch öffentliche Stellen finden sich daher in nationalen Datenschutzregelungen - in Fachgesetzen und in § 3 DSG NRW in Form einer allgemeinen Auffangnorm.

Bei der Verarbeitung besonderer Kategorien personenbezogener Daten wird aufgrund ihrer Sensibilität neben einer ohnehin erforderlichen Rechtsgrundlage oder des Vorliegens einer Einwilligung gefordert, dass ein Ausnahmetatbestand vom Verbot der Verarbeitung nach Artikel 9 Absatz 2 DSGVO vorliegt. Dies bedeutet, dass die Verarbeitung besonders sensibler Daten grundsätzlich auch dann unzulässig ist, wenn ein Erlaubnistatbestand nach Artikel 6 Absatz 1 DSGVO erfüllt ist. Als besonders sensibel gelten gemäß Artikel 9 Absatz 1 DSGVO Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung.

Was ist bei der Verarbeitung personenbezogener Daten auf Grundlage einer Einwilligung zu beachten?

Artikel 6 Absatz 1 lit. a) DSGVO als Rechtgrundlage bzw. die darin geforderte Einwilligung ist für die Verarbeitung von personenbezogenen Daten durch Behörden nicht der Regelfall. Aufgrund des Ungleichgewichts zwischen der betroffenen Person und der Behörde als Verantwortliche kann es insbesondere an der Freiwilligkeit der Einwilligung fehlen (vgl. Artikel 7 Absatz 4 DSGVO und Erwägungsgrund 43 DSGVO).

Eine Einwilligung ist erforderlich, sofern eine öffentliche Stelle die personenbezogenen Daten verarbeiten möchte und ein Erlaubnistatbestand in der DSGVO oder im nationalen Recht dafür fehlt. Soweit die konkrete Datenverarbeitung gesetzlich nicht erlaubt ist und deswegen auf einer Einwilligung der betroffenen Person beruht, müssen insbesondere die Anforderungen von Artikel 7 und 8 DSGVO erfüllt sein.

Die Anforderungen an die Einwilligung hat der europäische Gesetzgeber verordnungsunmittelbar abschließend geregelt und von einem grundsätzlich möglichen Regelungsspielraum für den nationalen Gesetzgeber abgesehen. Diese gesetzgeberische Entscheidung zeigt die Bedeutung der Vorgaben für die Einwilligungserklärung im Interesse des einheitlich zu erreichenden hohen Datenschutzniveaus.

Die Einwilligung muss durch eine eindeutige Handlung der betroffenen Person erfolgen, mit der freiwillig und unmissverständlich erklärt wird, dass die betroffene Person mit der Verarbeitung ihrer personenbezogenen Daten für einen bestimmten Zweck oder mehrere konkrete Zwecke einverstanden ist. Dabei muss die einwilligende Person über die Bedeutung der Einwilligung informiert sein. Die Erklärung kann schriftlich, mündlich oder elektronisch erfolgen. Die Erteilung der Einwilligung unterliegt grundsätzlich keinem Schriftformerfordernis. Etwas anderes gilt, wenn eine speziellere Rechtsvorschrift ein Schriftformerfordernis vorsieht. Eine konkludente Einwilligungserklärung dagegen ist nicht möglich. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit können keine Einwilligung bedeuten (vgl. Erwägungsgrund 32 DSGVO).

Der Widerruf der Einwilligung ist von Gesetzes wegen jederzeit möglich. Die Erklärung des Widerrufs muss so einfach wie die Erteilung der Einwilligung sein. Die betroffene Person muss vor Abgabe der Einwilligung auf die Möglichkeit des Widerrufs mit Wirkung für die Zukunft hingewiesen werden.

Für die Zulässigkeit der Datenverarbeitung auf der Grundlage einer Einwilligung ist zwingend erforderlich, dass die entsprechende Erklärung vor der Datenverarbeitung abgegeben wurde. Die Einwilligungserklärung ist als vorherige Zustimmung im Hinblick auf eine in Zukunft beabsichtigte Datenverarbeitung ausgestaltet.

Artikel 8 DSGVO regelt weitere Bedingungen für Einwilligungserklärungen von
Minderjährigen.

Dass eine wirksame Einwilligung für die Datenverarbeitung vorliegt, muss der Verantwortliche nachweisen.

Ist eine vor dem 25.05.2018 erteilte Einwilligung jetzt unwirksam und muss eine neue Erklärung eingeholt werden?

Sofern die Art der vor dem 25. Mai 2018 erteilten Einwilligung den Bedingungen der DSGVO entspricht, bedarf es keiner erneuten Einwilligung (vgl. Erwägungsgrund 171 Satz 3 DSGVO).

Bisher erteilte rechtswirksame Einwilligungen erfüllen in der Regel die geforderten Bedingungen und gelten daher fort.

Die Aufsichtsbehörden des Bundes und der Länder für den Datenschutz im nicht-öffentlichen Bereich haben die Bedingungen für die Fortgeltung der Einwilligungen konkretisiert. Danach gelten bisher erteilte Einwilligungen nicht fort, wenn die Erklärung den Anforderungen von Artikel 7 Absatz 4 DSGVO (Kopplungsverbot) und Artikel 8 Absatz 1 DSGVO (Altersgrenze bei Minderjährigen) nicht genügt.

Welchen zentralen Pflichten unterliegen Daten verarbeitende öffentliche Stellen?

Artikel 24 bis Artikel 43 DSGVO enthalten zentrale Regelungen zu den Pflichten der die Daten verarbeitenden Stellen als Verantwortliche.
Dazu gehören:

  • die Gewährleistung geeigneter technischer und organisatorischer Maßnahmen zur Sicherstellung von Datenschutz und Datensicherheit, Artikel 24, 25 und 32 DSGVO;
  • die Beachtung der Anforderungen an die Auftragsverarbeitung, Artikel 28 DSGVO;
  • das Führen eines Verzeichnisses der Verarbeitungstätigkeiten, Artikel 30 DSGVO;
  • die Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde und Benachrichtigung der betroffenen Personen, Artikel 33 und 34 DSGVO;
  • die Durchführung einer Datenschutz-Folgenabschätzung und vorherige Konsultation der Aufsichtsbehörden, Artikel 35 und 36 DSGVO;
  • die Benennung eines Datenschutzbeauftragten, Artikel 37 bis 39 DSGVO.

Als weitere wesentliche Pflichten der Verantwortlichen sind zu nennen:

  • die Einhaltung der in Artikel 5 DSGVO normierten Grundsätze für die Verarbeitung personenbezogener Daten sowie
  • die Gewährleistung der in den Artikeln 12 ff. DSGVO geregelten Betroffenenrechte.
Was muss die verantwortliche öffentliche Stelle bei der Erhebung personenbezogener Daten mit Blick auf die Informationspflichten beachten?

Die Erhebung von personenbezogenen Daten sowie die Weiterverarbeitung für nachträglich geänderte Zwecke löst umfangreiche Informationspflichten nach Artikel 13 oder 14 DSGVO aus. Die Vorschriften dienen der Erfüllung der Grundsätze einer fairen und transparenten Datenverarbeitung.
Der Verantwortliche ist zur Information der betroffenen Person verpflichtet, wenn

  • die personenbezogenen Daten direkt bei der betroffenen Person erhoben werden - Artikel 13 Absatz 1 DSGVO,
  • der Verantwortliche beabsichtigt, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die Daten bei dem Betroffenen erhoben wurden - Artikel 13 Absatz 3 DSGVO,
  • die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden - Artikel 14 Absatz 1 DSGVO, oder
  • der Verantwortliche beabsichtigt, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die Daten erlangt wurden - Artikel 14 Absatz 4 DSGVO.

Welche Informationen an die betroffene Person mitgeteilt werden müssen, ist in den Artikeln 13 Absatz 1 und 2 sowie 14 Absatz 1 und Absatz 2 DSGVO abschließend geregelt. Das Ministerium des Innern Nordrhein-Westfalen stellt hier Muster mit Hinweisen zu den jeweils zu erteilenden Informationen zur Verfügung.

Hinsichtlich der Form der Informationen sind die Maßgaben des 12 Absatz 1 DSGVO zu beachten. Demnach sind die Informationen in präziser, transparenter, verständlicher und leicht zugänglicher sowie in klarer und einfacher Sprache zu übermitteln. Die Informationen sind schriftlich oder in anderer Form zur Verfügung zu stellen. Dabei ist auch im Interesse des Verantwortlichen zu beachten, dass dieser den Nachweis einer ordnungsgemäßen Erledigung der Informationspflichten zu erbringen hat. Welche konkrete Form zur Erfüllung der Informationspflichten geeignet ist und die Anforderungen der Artikel 12 ff. DSGVO erfüllt, ist abhängig von den konkreten Umständen im Einzelfall und nicht einer allgemeingültigen Regel zugänglich. Als Faustregeln gelten:

  • Die Informationen müssen in der konkreten Situation verfügbar sein.
  • Bei Bezugnahme auf (zulässige) elektronische Informationen müssen diese leicht auffindbar sein.

Anknüpfungspunkt für das Bestehen der Informationspflicht ist das Erheben von Daten. Der Begriff ist nicht legaldefiniert und findet in den Begriffsbestimmungen lediglich mit Artikel 4 Nummer 2 DSGVO als Unterform der Verarbeitung Erwähnung. Die Beurteilung der Frage, ob und wann eine die Informationspflichten auslösende Datenerhebung vorliegt, kann im Einzelfall problematisch sein. Insbesondere wenn die Daten von der öffentlichen Stelle nicht zielgerichtet beschafft werden, sondern die Daten von der betroffenen Person selbst oder einem Dritten weitergegeben werden, ist fraglich, ob eine Datenerhebung im Sinne der Artikel 13 und 14 DSGVO gegeben ist. Sofern keine Verpflichtung zur Weitergabe von Daten besteht, erscheint die Sichtweise vorzugswürdig, dass mangels zielgerichteten Beschaffens keine Datenerhebung im Sinne der Artikel 13 und 14 DSGVO vorliegt. Es ist allerdings bekannt, dass die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen eine andere Auffassung vertritt. Auch in den Fällen der sogenannten „Datenaufdrängung“ soll mit der ersten zielgerichteten Weiterverarbeitung der Daten eine Datenerhebung vorliegen, die Informationspflichten nach Artikel 13 bzw. Artikel 14 DSGVO auslöst.

Zu praxisgerechten Ergebnissen führen die Ausnahmen von der Informationspflicht, die ganz überwiegend in der DSGVO geregelt sind. Bei der sogenannten Direkterhebung im Sinne des Artikels 13 Absatz 1 DSGVO entfallen gemäß Artikel 13 Absatz 4 DSGVO die Informationspflichten auch bei nachträglicher Zweckänderung, wenn und soweit die betroffene Person bereits über die zu erteilenden Informationen verfügt. Bei der sogenannten Dritterhebung im Sinne des Artikels 14 Absatz 1 DSGVO einschließlich der nachträglichen Zweckänderung kommen weitere Ausschlussgründe in Betracht. Gemäß Artikel 14 Absatz 5 DSGVO entfällt die Informationspflicht auch, wenn sich die Unterrichtung der betroffenen Person als unmöglich erweist oder mit unverhältnismäßigem Aufwand verbunden ist oder wenn die Speicherung oder Offenlegung der personenbezogenen Daten ausdrücklich durch Rechtsvorschriften geregelt ist. Eine solche Rechtsvorschrift ist beispielsweise § 6 des Bundesmeldegesetzes, welche die Übermittlung bestimmter Daten von oder an die Meldebehörden vorsieht. Die Abgrenzung, wann eine Direkt- oder Dritterhebung vorliegt, kann im Einzelfall schwierig sein. Die Direkterhebung nach Artikel 13 Absatz 1 DSGVO ist jedenfalls dann einschlägig, wenn der betroffenen Person die Datenerhebung bewusst ist.

§ 11 DSG NRW regelt weitere Ausnahmen in Form von Beschränkungen der Informationspflicht bei der Erhebung bzw. Verarbeitung der Daten nach Artikel 13 Absatz 3 DSGVO und Artikel 14 Absätze 1, 2 und 4 DSGVO. Hiernach entfällt die Informationspflicht, soweit und solange

  • die Information die Verfolgung von Straftaten, Ordnungswidrigkeiten und berufsrechtlichen Verstößen, die öffentliche Sicherheit oder den Schutz des Wohles des Bundes oder eines Landes gefährdet,
  • die personenbezogenen Daten oder die Tatsache ihrer Verarbeitung nach einer Rechtsvorschrift oder wegen der Rechte und Freiheiten anderer Personen geheim zu halten sind, oder
  • die Information die Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche beeinträchtigten würde und die Interessen des Verantwortlichen an der Nichterteilung der Information die Interessen der betroffenen Person überwiegen.

Bei der Übermittlung von personenbezogenen Daten an die oder von den in § 11 Absatz 2 DSG NRW gennannten Behörden (Staatsanwaltschaft, Finanzverwaltung, Verfassungsschutz etc.) ist die Erteilung der Information zustimmungspflichtig.

Wie sind die Informationspflichten bei der Videoüberwachung zu erfüllen?

§ 20 Absatz 2 DSG NRW enthält für die Erhebung von personenbezogenen Daten durch Videoüberwachung spezielle Regelungen zur Erfüllung der Informationspflichten nach Artikel 13 Absatz 1 und Absatz 2 DSGVO. Danach sind der Umstand der Videoüberwachung, die Angaben nach Artikel 13 Absatz 1 lit. a) bis c) DSGVO sowie die Möglichkeit, bei dem Verantwortlichen die weiteren Informationen nach Artikel 13 Absatz 1 und Absatz 2 DSGVO zu erhalten, durch geeignete Maßnahmen zum frühestmöglichen Zeitpunkt erkennbar zu machen.

Es erscheint sachgerecht, den Umstand der Videoüberwachung in Symbolform oder als Piktogramm darzustellen. Weiter sind der Name und die Kontaktdaten des Verantwortlichen, der Zweck der Verarbeitung sowie deren Rechtsgrundlage kenntlich zu machen. Die weiteren Pflichtinformationen gemäß Artikel 13 Absatz 2 lit. a) DSGVO sind ebenfalls am Ort der Videoüberwachung an einer für die betroffene Person zugänglichen Stelle zur Verfügung zu stellen, beispielsweise in Form eines Aushanges. „Frühestmöglich“ bezieht sich dabei in der Regel auf den Zeitpunkt der Erhebung, soll aber gleichfalls Fallgestaltungen mitumfassen, in denen eine Kenntlichmachung bei Erhebung noch nicht möglich ist. In diesen Fällen ist die Mitteilung der gebotenen Informationen unverzüglich nachzuholen.

Welche Rechte hat die von der Datenverarbeitung betroffene Person?

Die DSGVO sieht neben den Informationspflichten des Verantwortlichen nach Artikel 13 und 14 DSGVO weitere Rechte der von der Datenverarbeitung betroffenen Person vor (sogenannte Betroffenenrechte). Geregelt sind diese in den Artikeln 15 ff. DSGVO.

Der betroffenen Person steht gemäß Artikel 15 DSGVO ein umfassendes Auskunftsrecht der sie betreffenden Daten zu. Darüber hinaus hat die betroffene Person unter den dort genannten Voraussetzungen gemäß Artikel 16 DSGVO das Recht auf Berichtigung, gemäß Artikel 17 DSGVO das Recht auf Löschung der Daten, gemäß Artikel 18 DSGVO das Recht auf Einschränkung der Datenverarbeitung sowie gemäß Artikel 21 DSGVO das Recht auf Widerspruch gegen die Datenverarbeitung. Außerdem kann die betroffene Person unter bestimmten Voraussetzungen nunmehr auch in Form des Rechts auf Datenübertragbarkeit gemäß Artikel 20 DSGVO von dem Verantwortlichen ihre Daten in einer strukturierten, gängigen und maschinenlesbaren Form herausverlangen und diese Daten an Dritte weitergeben.

In Einzelfällen können diese Rechte eingeschränkt oder ausgeschlossen sein. Neben verordnungsunmittelbaren Ausnahmen können sich die Beschränkungen bei Vorliegen der dort geregelten engen Voraussetzungen aus §§ 12, 13 und 14 DSG NRW ergeben.

Zudem kann die betroffene Person neben einer Beschwerde gemäß Artikel 77 DSGVO bei der zuständigen Aufsichtsbehörde gemäß Artikel 79 DSGVO auch Klage beim zuständigen Gericht erheben, wenn sie der Ansicht ist, dass ihre Rechte durch die Verarbeitung ihrer personenbezogenen Daten verletzt wurden. Entsteht einer Person wegen eines Verstoßes gegen die Datenschutz-Grundverordnung ein materieller oder immaterieller Schaden, hat sie Anspruch auf Schadensersatz nach Artikel 82 DSGVO.

Wer ist bei mehreren Verarbeitern für die Erfüllung der Informationspflichten und die Wahrnehmung der Betroffenenrechte zuständig?

Zuständig ist stets der Verantwortliche im Sinne des Artikels 4 Nummer 7 DSGVO. Bei mehreren gemeinsam für die Verarbeitung verantwortlichen Stellen muss im Rahmen einer Vereinbarung gemäß Artikel 26 Absatz 1 Satz 2 DSGVO festgelegt werden, wer die Betroffenenrechte wahrzunehmen und wer welche Informationspflichten zu erfüllen hat, wenn und soweit diese Aufgaben aufgrund gesetzlicher Regelungen nicht ohnehin einem der Verantwortlichen zugewiesen sind.

Wer überwacht die Einhaltung datenschutzrechtlicher Vorgaben?

Für die Einhaltung und Durchsetzung der europäischen und nationalen Rechtsvorschriften zum Datenschutz sowohl im öffentlichen als auch im nicht-öffentlichen Bereich ist in Nordrhein-Westfalen die Landesbeauftragte für Datenschutz und Informationsfreiheit zuständig.

Sie verfügt dazu über die verordnungsunmittelbar in Artikel 58 DSGVO geregelten und um die in § 28 DSG NRW ergänzten umfangreichen Untersuchungs-, Abhilfe- und Genehmigungsbefugnisse. Sie kann gegenüber dem Verantwortlichen insbesondere Anweisungen, Anordnungen und Verbote aussprechen sowie Bußgelder verhängen.

Die Aufsichtsbehörden haben grundsätzlich die Befugnis, alle Informationen zu verlangen, die für die Erfüllung ihrer Aufgaben erforderlich sind, insbesondere im Rahmen der Untersuchung von möglichen Verstößen gegen Datenschutzbestimmungen. Gemäß § 27 Absatz 2 und Absatz 3 DSG NRW unterliegen diese Befugnisse der Aufsichtsbehörde gewissen Einschränkungen, wenn und soweit mit der Ausübung der Befugnisse eine Verletzung der Geheimhaltungspflicht bestimmter Berufsgruppen einhergehen bzw. diese die Aufgabenerfüllung des Verantwortlichen wesentlich gefährden würde.

Regelungen zu Aufgaben und Befugnissen der Aufsichtsbehörde finden sich insbesondere in Artikel 51 ff. DSGVO sowie in §§ 25 ff. DSG NRW.

Welche aufsichtsbehördlichen Maßnahmen drohen bei Verstößen gegen datenschutzrechtliche Bestimmungen?

Um Verstöße zu ahnden, steht den Aufsichtsbehörden ein breites Spektrum an Maßnahmen bis hin zur Untersagung einzelner Datenverarbeitungen zur Verfügung.

Bei bevorstehender und voraussichtlich rechtswidriger Datenverarbeitung kann die Aufsichtsbehörde insbesondere vorsorgliche Warnungen an die verantwortlichen Stellen und die Auftragsverarbeiter aussprechen (Artikel 58 Abs. lit. a DSGVO). Verwarnungen kommen in Betracht, wenn mit der konkreten Datenverarbeitung bereits gegen die DSGVO verstoßen worden ist (Artikel 58 Absatz 2 lit.) b DSGVO). Die Aufsichtsbehörde kann die Verantwortlichen durch Verwaltungsakt anweisen, den Betroffenenrechten zu entsprechen (Artikel 58 Abs. 2 lit. c) DSGVO), Datenverarbeitungen mit der Grundverordnung in Einklang zu bringen (Artikel 58 Absatz 2 lit. d) DSGVO) sowie die von einem Datenschutzverstoß betroffene Personen zu benachrichtigen (Artikel 58 Absatz 2 lit. e) DSGVO). Weiter kann die Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland angeordnet werden (Artikel 58 Absatz 2 lit. j) DSGVO). Zudem können die Datenverarbeitungen vorübergehend und endgültig beschränkt oder sogar untersagt werden (Artikel 58 Absatz 2 lit. f) DSGVO), die Berichtigung und Löschung bestimmter Daten sowie eine Einschränkung der Verarbeitung solcher Daten angeordnet werden (Artikel 58 Absatz 2 lit. g) DSGVO).

Zusätzlich oder anstelle dieser Maßnahmen können Verstöße gegen die DSGVO auch mit Geldbußen geahndet werden (Artikel 58 Absatz 2 lit. i) DSGVO). Gemäß Artikel 83 DSGVO können Bußgelder in Höhen von bis zu EUR 20.000.000 verhängt werden.

Allerdings erlaubt der europäische Gesetzgeber mit Artikel 83 Absatz 7 DSGVO den Mitgliedstaaten durch nationale Rechtsvorschriften selbst festzulegen, ob überhaupt und in welchem Umfang gegen die eigenen Behörden und öffentlichen Stellen Geldbußen verhängt werden können. Hiervon ist im DSG NRW zugunsten der öffentlichen Stellen im Sinne des § 5 Absatz 1 DSG NRW Gebrauch gemacht worden, so dass gegen die dort genannten Stellen keine entsprechenden Geldbußen verhängt werden dürfen.

Die Möglichkeit der Sanktionierung durch Bußgelder besteht gemäß § 32 DSG NRW daher nur bei den in § 5 Absatz 5 Nummer 1 bis 4 DSG NRW aufgezählten Stellen.

Nach Maßgabe von Artikel 83 DSGVO müssen die verhängten Bußgelder wirksam, abschreckend aber auch verhältnismäßig sein. Bei der Bestimmung der Bußgeldhöhe müssen viele Aspekte berücksichtigt werden. Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen hebt insbesondere folgende Punkte hervor:

  • Art, Schwere und Dauer des konkreten Verstoßes
  • Art der verarbeiteten Daten
  • Einhaltung früher angeordneter Maßnahmen
  • Ob und welche Vorteile von der Datenverarbeitung erlangt wurden
  • Kooperation der verantwortlichen Stelle mit der Aufsichtsbehörde
  • Eigenständige Mitteilung an die Aufsichtsbehörde über den Verstoß

Die Maßnahmen der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen können bei Vorliegen der Vollstreckbarkeit mit Zwangsmitteln durchgesetzt werden. Der gemäß Artikel 78 DSGVO garantierte Rechtsschutz gegen Anordnungen der Aufsichtsbehörde wird dabei im verwaltungsgerichtlichen Verfahren gewährt.

Gibt es weiterhin Ordnungswidrigkeits- und Straftatbestände im neuen DSG NRW?

In der DSGVO sind mit Artikel 83 DSGVO die Bedingungen und Tatbestände lediglich für die Verhängung von Geldbußen gegen verantwortliche Stellen und Auftragsverarbeitern geregelt. Die DSGVO enthält dagegen keine Regelungen zur Verhängung von Geldbußen beispielsweise gegenüber Mitarbeitern der verantwortlichen Stelle. Artikel 84 Absatz 1 DSGVO erlaubt aber dem nationalen Gesetzgeber insbesondere für Verstöße, die keiner Geldbuße gemäß Artikel 83 DSGVO unterliegen, Vorschriften über Sanktionen festzulegen.

§§ 33 Absatz 1 und 34 Absatz 1 DSG NRW enthalten in Anlehnung zu den bisherigen landesdatenschutzrechtlichen Regelungen entsprechende Ordnungswidrigkeits- bzw. Straftatbestände für das vorsätzliche unbefugte Verarbeiten nicht allgemein zugänglicher Daten.

Ordnungswidrigkeiten im Sinne des § 33 Absatz 1 DSG NRW werden gemäß § 33 Absatz 3 DSG NRW von der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen geahndet.