Stolperfallen der DSGVO: Sind Sie fit?

Die Datenschutz-Grundverordnung (DSGVO) ist vielen Verantwortlichen mittlerweile zumindest mit ihren wesentlichen Inhalten bekannt. Doch, wie steht es um Ihr Wissen wirklich? Anhand von drei Stolperfallen zeigen wir Ihnen, ob Sie wirklich fit sind.

Prüfen Sie, ob ein Joint-Controller-Verhältnis vorliegt?

Wenn Sie den Begriff „Joint-Controller“ zum ersten Mal hören (als BlogleserIn kaum möglich), sollten Sie sich noch einmal mit der DSGVO auseinandersetzen – besonders Art. 26 DSGVO sei Ihnen dazu ans Herz gelegt.

Legen zwei oder mehr Verantwortliche die Zwecke und Mittel der Verarbeitung fest, sind sie gemeinsam für die Verarbeitung Verantwortliche („Joint-Controller“). Wenn Sie nun denken, dass ein Joint-Controller-Verhältnis völlig neu ist, ist das nur die halbe Wahrheit. Bereits in der EU-Datenschutzrichtlinie 95/64/EG findet sich der sog. Joint-Controller, der allerdings in Deutschland –im Gegensatz zur Auftragsdatenverarbeitung– nur wenig Beachtung gefunden hat.

Sollte bislang eine Prüfung zu Art. 26 DSGVO unterblieben sein, so sollten Sie sich mit dieser Norm vertraut machen und etwaige Joint-Controller-Verhältnisse prüfen. Denn wie bei einer Auftragsverarbeitung muss mit dem Joint-Controller eine Vereinbarung geschlossen werden, deren wesentlicher Inhalt den betroffenen Personen zur Verfügung zu stellen ist (Art. 26 Abs. 2 Satz 2 DSGVO). Damit wären wir bei der ersten Stolperfalle angekommen.

Prüfen Sie, ob Ihr Subauftragnehmer denselben Pflichten unterworfen ist?

Sie sind Auftragsverarbeiter und setzen Subauftragnehmer ein? Werfen Sie nun einen Blick in die vertraglichen Regelungen, die mit dem Subauftragnehmer getroffen worden sind. Blicken Sie jetzt in die Vereinbarung zwischen Ihnen und dem Verantwortlichen. Wurden dem Subauftragnehmer dieseleben Pflichten auferlegt, die in der Vereinbarung zwischen dem Verantwortlichen und dem Auftragsverarbeiter festgelegt sind?

Wenn nicht, sollten Sie Art. 28 Abs. 4 Satz 1 DSGVO lesen und kurz innehalten. Im eigenen Interesse empfiehlt es sich, auch diese Anforderung der DSGVO zu erfüllen. So geben Sie den vereinbarten Standard an den Unterauftragnehmer weiter. Unter den Stolpersteinen ein echter Klassiker!

Interessant ist an dieser Stelle auch Art. 28 Abs. 4 Satz 2 DSGVO: Kommt der Subauftragnehmer seinen Datenschutzpflichten nicht nach, haftet der Auftragsverarbeiter für die Einhaltung der Pflichten des Subauftragnehmers.

Datenübermittlung in Drittländer durch Einwilligung

Ja, eine Datenübermittlung in Drittländer kann auch mithilfe einer Einwilligung der betroffenen Person zulässig sein. Wenn allerdings kein Angemessenheitsbeschluss der Kommission oder keine geeigneten Garantien vorliegen, sollten die Ausnahmetatbestände aus Art. 49 DSGVO eng ausgelegt werden.

In der Praxis wird nicht selten auf die Einwilligungsmöglichkeit als „Allheilmittel“ zurückgegriffen. Bei genauerer Betrachtung fällt jedoch auf, dass die Vorgaben der DSGVO in vielen Fällen nicht richtig umgesetzt werden.

Bereits aus Art. 49 Abs. 1 Satz 1 lit. a) DSGVO ergibt sich beispielsweise, dass die betroffene Person in die Datenübermittlung ausdrücklich einwilligen muss, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde. Insbesondere darüber, dass kein angemessenes Datenschutzniveau vorliegt und die Betroffenenrechte gegebenenfalls nicht durchgesetzt werden können, ist aufzuklären.

Stolperfallen aus Ihrem Alltag

In der Praxis zeigt sich, dass an vielen Stellen –neben der Rechtsunsicherheit– eine Vielzahl von Umsetzungsschwierigkeiten hinzukommen. Auch eine Reihe weiterer Stolperfallen sind denkbar. Teilen Sie mit anderen und mit uns Ihre Erfahrungen und zeigen Sie Stolperfallen auf. So zeigt sich, wer wirklich fit im Umgang mit der DSGVO ist.