Art. 4 DSGVO: Begriffsbestimmungen
veröffentlicht am |
12.11.2019 |
---|---|
Änderung | Neu aufgenommen |
Stand | 05.02.2018 |
---|---|
Erstellungsgrundlage | in der Fassung der Datenschutz-Grundverordnung vom 27.04.2016 in Kraft getreten am 25.05.2018 |
Rechtsgrundlage | |
Version | 001.01 |
- Inhalt der Regelung
- Allgemeines
- Personenbezogene Daten (Nummer 1)
- Verarbeitung (Nummer 2)
- Einschränkung der Verarbeitung (Nummer 3)
- Profiling (Nummer 4)
- Pseudonymisierung (Nummer 5)
- Dateisystem (Nummer 6)
- Verantwortlicher (Nummer 7)
- Auftragsverarbeiter (Nummer 8)
- Empfänger (Nummer 9)
- Dritter (Nummer 10)
- Einwilligung (Nummer 11)
- Verletzung des Schutzes personenbezogener Daten (Nummer 12)
- Genetische Daten (Nummer 13)
- Biometrische Daten (Nummer 14)
- Gesundheitsdaten (Nummer 15)
- Hauptniederlassung (Nummer 16)
- Vertreter (Nummer 17)
- Unternehmen (Nummer 18)
- Unternehmensgruppe (Nummer 19)
- Verbindliche interne Datenschutzvorschriften (Nummer 20)
- Aufsichtsbehörde (Nummer 21)
- Betroffene Aufsichtsbehörde (Nummer 22)
- Grenzüberschreitende Verarbeitung (Nr. 23)
- Maßgeblicher und begründeter Einspruch (Nummer 24)
- Dienst der Informationsgesellschaft (Nummer 25)
- Internationale Organisation (Nummer 26)
- Inhalt der Regelung
- Allgemeines
- Personenbezogene Daten (Nummer 1)
- Verarbeitung (Nummer 2)
- Einschränkung der Verarbeitung (Nummer 3)
- Profiling (Nummer 4)
- Pseudonymisierung (Nummer 5)
- Dateisystem (Nummer 6)
- Verantwortlicher (Nummer 7)
- Auftragsverarbeiter (Nummer 8)
- Empfänger (Nummer 9)
- Dritter (Nummer 10)
- Einwilligung (Nummer 11)
- Verletzung des Schutzes personenbezogener Daten (Nummer 12)
- Genetische Daten (Nummer 13)
- Biometrische Daten (Nummer 14)
- Gesundheitsdaten (Nummer 15)
- Hauptniederlassung (Nummer 16)
- Vertreter (Nummer 17)
- Unternehmen (Nummer 18)
- Unternehmensgruppe (Nummer 19)
- Verbindliche interne Datenschutzvorschriften (Nummer 20)
- Aufsichtsbehörde (Nummer 21)
- Betroffene Aufsichtsbehörde (Nummer 22)
- Grenzüberschreitende Verarbeitung (Nr. 23)
- Maßgeblicher und begründeter Einspruch (Nummer 24)
- Dienst der Informationsgesellschaft (Nummer 25)
- Internationale Organisation (Nummer 26)
Inhalt der Regelung
In diesem Artikel werden in den Nummern 1 bis 26 die allgemeinen Grundbegriffe des Datenschutzes im Sinne dieser Verordnung definiert.
Ergänzende/korrespondierende Regelungen
Der Art. 4 DSGVO wird ergänzt durch Begriffsbestimmungen in § 2 BDSG und in § 67 SGB X für den Bereich des Sozialdatenschutzes.
Weitere Erläuterungen und Auslegungshilfen finden sich in den Erwägungsgründen (ErwG) 26 bis 37 zur DSGVO.
Allgemeines
Die unmittelbare Geltung der DSGVO als Verordnung schließt eine Wiederholung von Begriffsbestimmungen des Verordnungstextes in nationalen Vorschriften aus. Somit sind alle in diesem Artikel definierten Begriffe unmittelbar geltendes nationales Recht, da die Verordnung für Begriffsbestimmungen keine Öffnungsklauseln vorsieht.
Die Mitgliedstaaten dürfen zusätzliche Begriffsbestimmungen einführen, die sich aber nicht mit denen des Art. 4 DSGVO überschneiden dürfen.
Personenbezogene Daten (Nummer 1)
Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten (ErwG 1 DSGVO).
Nach Art. 4 Nr. 1 DSGVO sind „personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen“. Somit unterliegen nur die Daten von natürlichen Personen den Regelungen der DSGVO.
Die personenbezogenen Daten juristischer Personen werden durch die DSGVO nicht erfasst (ErwG 14 DSGVO). Betriebs- und geschäftsbezogene Daten juristischer Personen werden von § 67 Abs. 2 S. 2 SGB X unter den dort genannten Voraussetzungen erfasst.
Die Definition unterscheidet nicht hinsichtlich der Art oder Wertigkeit der Informationen. Personenbezogene Daten sind alle Informationen, die sich auf eine natürliche Person beziehen. Das können zum Beispiel eindeutige Identifikationsmerkmale sein, wie die Adresse, das Geburtsdatum, aber auch das Autokennzeichen, der Fingerabdruck oder Informationen über Einkommensverhältnisse. Es kommt ebenfalls nicht darauf an, aus welcher Quelle die Informationen stammen oder auf welche Art und Weise sie gespeichert werden.
Identifizierte Person
Der Begriff „identifiziert“ ist nicht in der DSGVO definiert. Als identifiziert ist eine Person anzusehen, wenn sich die Identität direkt aus der Information ergibt, ohne auf zusätzliche Informationen zurückzugreifen, zum Beispiel aus dem Namen.
Identifizierbare Person
Identifizierbar ist eine Person, wenn die einzelne Information nicht ausreicht, um sie einer einzelnen Person zuzuordnen, dies aber möglich ist, wenn weitere Informationen hinzukommen. Die Zuordnung der Informationen kann durch eine Kennnummer, eine Online-Kennung (zum Beispiel die IP-Adresse), durch Standortdaten, aber auch durch Merkmale, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität der natürlichen Person sind, erfolgen. Zum Beispiel reicht die Information „Astronaut“ nicht aus, um sie einer bestimmten Person zuzuordnen. Wenn aber die Information „erster Mensch auf dem Mond“ hinzugenommen wird, ist die natürliche Person eindeutig identifizierbar.
Pseudonymisierte personenbezogene Daten, die durch Heranziehung weiterer Informationen einer bestimmten natürlichen Person zugeordnet werden können, werden weiterhin als Informationen über eine identifizierbare Person betrachtet (ErwG 26 DSGVO). Die Pseudonymisierung stellt lediglich eine andere Art der Speicherung der Daten dar. Der Verantwortliche kann ohne großen Aufwand den Personenbezug wieder herstellen.
Um festzustellen, ob eine natürliche Person identifizierbar ist, sind gemäß ErwG 26 DSGVO alle Mittel zu berücksichtigen, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren. Dabei sollten objektive Faktoren, wie die Kosten der Identifizierung und der allgemeine Zeitaufwand berücksichtigt werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen bei der Abwägung mit einzubeziehen sind. Das Wissen und die Mittel Dritter sind insbesondere dann zu berücksichtigen, wenn die Daten an einen Dritten weitergegeben werden, der wahrscheinlich in der Lage ist, einen Personenbezug herzustellen.
Anonyme Daten
Nach ErwG 26 DSGVO gelten die Grundsätze des Datenschutzes nach der DSGVO nicht für anonyme Daten. Um festzustellen, ob ein Datum tatsächlich anonym ist, sind alle Mittel zu berücksichtigen, die vom Verantwortlichen oder einer anderen Person oder Stelle nach allgemeinem Ermessen wahrscheinlich genutzt werden, um dieses Datum einer bestimmten natürlichen Person zuzuordnen.
Daten Verstorbener
Die DSGVO gilt nicht für die personenbezogenen Daten Verstorbener (ErwG 27 DSGVO). Die Mitgliedstaaten können aber Vorschriften für die Verarbeitung personenbezogener Daten Verstorbener vorsehen (Öffnungsklausel). Für die Verarbeitung von Sozialdaten Verstorbener ist § 35 Abs. 5 SGB I zu beachten.
Verarbeitung (Nummer 2)
Art. 4 Nr. 2 DSGVO definiert den Begriff „Verarbeitung“ als „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten.“ Das bedeutet, dass jeder Vorgang, in dem personenbezogene Daten verwendet werden, als Verarbeitung zu verstehen ist. Dabei ist es unerheblich, ob dieser Vorgang mit oder ohne ein automatisiertes Verfahren durchgeführt wird.
Der Begriff „Verarbeitung“ wird im Weiteren durch die Aufzählung einzelner Verarbeitungsarten erläutert, zum Beispiel zählen dazu das Erheben, das Erfassen, die Speicherung, die Offenlegung durch Übermittlung, das Löschen oder die Vernichtung. Obige Aufzählung ist nicht abschließend, verdeutlicht aber das umfassende Verständnis des Begriffs „Verarbeitung.
Einschränkung der Verarbeitung (Nummer 3)
In Art. 4 Nr. 3 DSGVO wird der Begriff „Einschränkung der Verarbeitung“ als „Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken“ definiert.
Die Einschränkung der Verarbeitung erfolgt insbesondere auf Verlangen der betroffenen Person, wenn bestimmte Voraussetzungen gegeben sind (Art. 18 DSGVO).
Profiling (Nummer 4)
Gemäß Art. 4 Nr. 4 DSGVO ist Profiling „jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen“.
Die Definition des Begriffs Profiling wurde neu durch die DSGVO vorgenommen. Demnach ist das Ziel des Profilings, bestimmte Persönlichkeitsmerkmale von natürlichen Personen zu bewerten. Die zu bewertenden Persönlichkeitsaspekte sind nur beispielhaft aufgezählt.
Voraussetzung für das Profiling ist die automatisierte Verarbeitung personenbezogener Daten, die manuelle Verknüpfung dieser Daten gehört nicht dazu.
Ob und wie personenbezogene Daten zu Zwecken des Profilings erhoben und genutzt werden dürfen, bestimmt sich nach den allgemeinen Vorschriften der DSGVO (Art. 22 DSGVO und ErwG 72 DSGVO).
Pseudonymisierung (Nummer 5)
Art. 4 Nr. 5 DSGVO definiert die Pseudonymisierung als die „Verarbeitung personenbezogener Daten in einer Weise, das die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können“. Diese zusätzlichen Informationen müssen „gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.“
Gemäß ErwG 28 DSGVO besteht das Ziel der Pseudonymisierung darin, die Risiken für die betroffenen Personen zu senken und die Verantwortlichen und die Auftragsverarbeiter bei der Einhaltung ihrer Datenschutzpflichten zu unterstützen. Gleichzeitig wird in ErwG 28 S. 2 DSGVO ausdrücklich darauf hingewiesen, dass die Pseudonymisierung nur eine von verschiedenen Möglichkeiten zum Schutz personenbezogener Daten ist.
Die Pseudonymisierung personenbezogener Daten kann auf verschiedene Art und Weise erfolgen. So kann das Pseudonym durch
- die betroffene Person selbst,
- einen unabhängigen Dritten oder
- den Verantwortlichen
vergeben werden. Insbesondere bei der Vergabe des Pseudonyms durch den Verantwortlichen ist es für diesen weiterhin möglich, die betroffenen Personen zu identifizieren, die Daten sind personenbeziehbar (ErwG 26 DSGVO).
Dateisystem (Nummer 6)
Ein Dateisystem ist nach Art. 4 Nr. 6 DSGVO „jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird.“
Unabhängig von den technischen Möglichkeiten wird jede Sammlung personenbezogener Daten, die nach irgendwelchen Kriterien aufgebaut ist, als Dateisystem angesehen.
Verantwortlicher (Nummer 7)
In Art. 4 Nr. 7 DSGVO wird der Verantwortliche als eine „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“ definiert.
Das entscheidende Kriterium für die Feststellung des Verantwortlichen ist somit, wer über die Mittel und den Zweck der Verarbeitung entscheidet. Maßgebend ist hierbei die Entscheidungsbefugnis über den Zweck der Verarbeitung. Nach Art. 26 DSGVO kann es auch mehrere Verantwortliche für die Verarbeitung personenbezogener Daten geben.
Verantwortliche können juristische oder natürliche Personen sein. Sie müssen nicht selbst an der Verarbeitung der Daten beteiligt sein.
Gemäß Art. 5 Abs. 2 DSGVO muss der Verantwortliche die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten nachweisen (Rechenschaftspflicht).
Auftragsverarbeiter (Nummer 8)
Auftragsverarbeiter ist „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“.
Auftragsverarbeiter führen die Verarbeitung immer im Auftrag des Verantwortlichen aus und sind dabei an dessen Anweisungen gebunden, sie haben keine Entscheidungsfreiheit hinsichtlich der Zwecke und der Mittel der Verarbeitung.
Gemäß Art. 28 Abs. 3 DSGVO erfolgt die Verarbeitung durch einen Auftragsverarbeiter auf Grundlage eines Vertrages oder eines anderen Rechtsinstruments. Weitere Rechte und Pflichten des Auftragsverarbeiters sind ebenfalls in Art. 28 DSGVO geregelt.
Empfänger (Nummer 9)
Empfänger ist eine „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht.“
Als Empfänger gelten nicht „Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten.“ Die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung.
Dritter (Nummer 10)
Dritter ist „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten“.
Der Begriff „Dritter“ hat Bedeutung für die Zuweisung datenschutzrechtlicher Verantwortung und die Abgrenzung von anderen Beteiligten. Die betroffene Person ist nicht Dritter im Sinne der DSGVO, da sie selbst Träger der Schutzrechte der DSGVO ist. Der Verantwortliche ist ebenfalls nicht Dritter. Auch ein Auftragsverarbeiter ist nicht Dritter, obwohl er nicht zur Organisation des Verantwortlichen gehört.
Werden personenbezogene Daten an Dritte übermittelt und verarbeiten diese dann die Daten, sind sie Verantwortliche im Sinne der DSGVO.
Einwilligung (Nummer 11)
Einwilligung ist gemäß Art. 4 Nr. 11 DSGVO „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.“
Die Einwilligung ist eine der Voraussetzungen für die rechtmäßige Verarbeitung personenbezogener Daten (Art. 6 Abs. 1 Buchst. a DSGVO).
Als weitere Voraussetzungen für eine rechtswirksame Einwilligung werden genannt:
- Die Einwilligung muss freiwillig erfolgen. Freiwillig ist eine Einwilligung, wenn die betroffene Person tatsächlich eine Wahlmöglichkeit hat, also ohne Nachteile auf die Erteilung der Einwilligung verzichten kann. Außerdem muss für die betroffene Person die Möglichkeit bestehen, die Einwilligung zurückzuziehen. Besteht zwischen dem Verantwortlichen und der betroffenen Person ein deutliches Ungleichgewicht, ist es unwahrscheinlich, dass die Einwilligung freiwillig abgegeben wurde (ErwG 43 DSGVO)
- Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen. Dies kann schriftlich, elektronisch, auch durch aktives Ankreuzen von Feldern oder Einstellungen bei der Nutzung von Diensten geschehen. Stillschweigen, Untätigkeit oder bereits vorausgefüllte Felder reichen nicht aus, um eine Einwilligung auszudrücken (ErwG 32 DSGVO).
- Grundsätzlich gilt die Einwilligung immer nur für einen bestimmten Zweck. Über diesen ist die betroffene Person vor der Verarbeitung personenbezogener Daten zu informieren. Wird eine Einwilligung für mehrere Zwecke erbeten, müssen alle Zwecke deutlich dargelegt werden. Die betroffene Person muss dann die Möglichkeit haben, für jeden Zweck eine gesonderte Entscheidung zu treffen.
- Die betroffene Person muss einschätzen können, welche Auswirkungen es hat, wenn sie die Erlaubnis zur Verarbeitung ihrer personenbezogenen Daten erteilt (ErwG 32 DSGVO).
Weitere Bedingungen für die Einwilligung sind in Art. 7 DSGVO definiert.
Verletzung des Schutzes personenbezogener Daten (Nummer 12)
Eine Verletzung des Schutzes personenbezogener Daten ist nach Art. 4 Nr. 12 DSGVO „eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“.
Die Verletzung des Schutzes personenbezogener Daten verpflichtet den Verantwortlichen, die Aufsichtsbehörden und die betroffenen Personen unverzüglich und möglichst binnen 72 Stunden darüber zu informieren (Art. 33 DSGVO und Art. 34 DSGVO).
Genetische Daten (Nummer 13)
Der Begriff „genetische Daten“ war im bisherigen Datenschutzrecht nicht definiert. Gemäß Art. 4 Nr. 13 DSGVO sind das „personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden.“
Diese Informationen können insbesondere durch eine DNS- oder RNS-Analyse gewonnen werden (ErwG 34 DSGVO).
Genetischen Daten sind eine besondere Kategorie personenbezogener Daten und dürfen nur nach den Bestimmungen des Art. 9 DSGVO verarbeitet werden.
Gerade im Forschungsbereich haben genetische Daten eine große Bedeutung. Aber auch im Arbeitsbereich, bei Versicherungen oder strafrechtlichen Ermittlungen spielen genetische Daten eine immer größere Rolle.
Da genetische Daten unveränderbar sind, ist eine Anonymisierung genetisch analysierter Proben praktisch nicht möglich.
Biometrische Daten (Nummer 14)
Biometrische Daten sind „mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten“.
Biometrie ist eine Wissenschaft, die sich mit Messungen an Lebewesen und den dazu erforderlichen Mess- und Auswerteverfahren beschäftigt. Die Vermessung erfolgt zunehmend mit technischen Verfahren.
Biometrische Daten sind zur eindeutigen Identifizierung von Personen geeignet.
Biometrische Daten sind eine besondere Kategorie personenbezogener Daten und dürfen nur nach den Bestimmungen des Art. 9 DSGVO verarbeitet werden.
Gesundheitsdaten (Nummer 15)
Gesundheitsdaten sind nach Art. 4 Nr. 15 DSGVO „personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen“.
Zu den Gesundheitsdaten zählen alle Daten, aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person hervorgehen. Ebenfalls gehören Informationen über Krankheiten, Behinderungen, Krankheitsrisiken, Vorerkrankungen, klinische Behandlungen oder den physiologischen oder biomedizinischen Zustand der betroffenen Person unabhängig von der Herkunft der Daten dazu (ErwG 35 DSGVO).
Gesundheitsdaten sind auch Daten, aus denen mittelbar auf den Gesundheitszustand geschlossen werden kann. Die behördliche Anerkennung als schwerbehinderter Mensch ist ein Gesundheitsdatum, ebenso wie die Bescheinigung des Arztes über die Arbeitsunfähigkeit einer Person.
Gesundheitsdaten sind eine besondere Kategorie personenbezogener Daten und dürfen nur nach den Bestimmungen des Art. 9 DSGVO verarbeitet werden.
Hauptniederlassung (Nummer 16)
Die Entscheidung über die Hauptniederlassung eines Verantwortlichen oder Auftragsverarbeiters ist für die Bestimmung der Aufsichtsbehörde bei grenzüberschreitender Verarbeitung von personenbezogenen Daten erforderlich.
Verantwortlicher mit Niederlassungen in mehr als einem Mitgliedstaat
Die Hauptniederlassung eines Verantwortlichen mit Niederlassungen in mehr als einem Mitgliedstaat ist der Ort der Hauptverwaltung. Werden die Entscheidungen hinsichtlich der Zwecke und Mittel der Verarbeitung personenbezogener Daten in einer anderen Niederlassung des Verantwortlichen in der Union getroffen und ist diese Niederlassung befugt, diese Entscheidungen umsetzen zu lassen, dann gilt die Niederlassung, die diese Entscheidungen trifft, als Hauptniederlassung. Die Rechtsform der Niederlassung ist dabei nicht ausschlaggebend (ErwG 22 DSGVO). Ebenso unbeachtlich für diese Fragestellung ist der Ort der eigentlichen Verarbeitung der personenbezogenen Daten (ErwG 36 DSGVO).
Hat ein Verantwortlicher nur eine Niederlassung in der Union, ist diese die Hauptniederlassung im Sinne der DSGVO.
Auftragsverarbeiter mit Niederlassungen in mehr als einem Mitgliedstaat
Hat ein Auftragsverarbeiter in mehr als einem Mitgliedstaat der Union Niederlassungen, so ist der Ort seiner Hauptverwaltung die Hauptniederlassung.
Hat der Auftragsverarbeiter keine Hauptverwaltung in der Union, ist die Niederlassung, in der die wesentlichen Verarbeitungstätigkeiten hauptsächlich stattfinden, die Hauptniederlassung (ErwG 36 DSGVO).
Wird die Verarbeitung durch eine Unternehmensgruppe vorgenommen, so sollte die Hauptniederlassung des herrschenden Unternehmens als Hauptniederlassung der Unternehmensgruppe gelten, es sei denn, die Zwecke und Mittel der Verarbeitung werden von einem anderen Unternehmen festgelegt (ErwG 36 DSGVO).
Vertreter (Nummer 17)
Vertreter ist „eine in der Union niedergelassene natürliche oder juristische Person, die von dem Verantwortlichen oder Auftragsverarbeiter schriftlich gemäß Art. 27 DSGVO bestellt wurde und den Verantwortlichen oder Auftragsverarbeiter in Bezug auf die ihnen jeweils nach dieser Verordnung obliegenden Pflichten vertritt“.
Die DSGVO ist unter den Voraussetzungen des Art. 3 Abs. 2 DSGVO auch auf Verantwortliche oder Auftragsverarbeiter anwendbar, die keine Niederlassung in der Union haben. Diese müssen gemäß Art. 27 Abs. 1 DSGVO einen Vertreter in der Union benennen. Dieser Vertreter muss schriftlich benannt werden und ist gemäß Art. 13 DSGVO und Art. 14 DSGVO auch den betroffenen Personen bekannt zu geben.
Unternehmen (Nummer 18)
Gemäß Art. 4 Nr. 18 DSGVO ist ein Unternehmen „eine natürliche und juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform, einschließlich Personengesellschaften oder Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen“.
Unternehmensgruppe (Nummer 19)
Eine Unternehmensgruppe ist nach Art. 4 Nr. 19 DSGVO „eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht“. Das herrschende Unternehmen sollte dasjenige sei, das zum Beispiel aufgrund der Eigentumsverhältnisse, der finanziellen Beteiligung oder der für das Unternehmen geltenden Vorschriften oder der Befugnis, Datenschutzvorschriften umsetzen zu lassen, einen beherrschenden Einfluss auf die übrigen Unternehmen ausüben kann. Ein Unternehmen, das die Verarbeitung personenbezogener Daten in ihm angeschlossenen Unternehmen kontrolliert, sollte zusammen mit diesen als eine „Unternehmensgruppe“ betrachtet werden (ErwG 37 DSGVO).
Verbindliche interne Datenschutzvorschriften (Nummer 20)
Als verbindliche interne Datenschutzvorschriften sind Maßnahmen zum Schutz personenbezogener Daten definiert, „zu deren Einhaltung sich ein im Hoheitsgebiet eines Mitgliedstaats niedergelassener Verantwortlicher oder Auftragsverarbeiter verpflichtet im Hinblick auf Datenübermittlungen oder eine Kategorie von Datenübermittlungen personenbezogener Daten an einen Verantwortlichen oder Auftragsverarbeiter derselben Unternehmensgruppe oder derselben Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, in einem oder mehreren Drittländern“.
Die Aufsichtsbehörde genehmigt diese verbindlichen internen Datenschutzvorschriften wenn die Voraussetzungen des Art. 47 Abs. 1 DSGVO erfüllt sind. Welche Angaben die Vorschriften enthalten müssen, ist in Art. 47 Abs. 2 DSGVO geregelt.
Aufsichtsbehörde (Nummer 21)
Die Aufsichtsbehörde ist für die Überwachung der Anwendung der DSGVO zuständig (Art. 51 DSGVO). Sie ist gemäß Art. 4 Nr. 21 DSGVO eine von einem Mitgliedstaat gemäß Art. 51 DSGVO eingerichtete unabhängige staatliche Stelle.
Jeder Mitgliedstaat kann eine oder mehrere Aufsichtsbehörden errichten.
Betroffene Aufsichtsbehörde (Nummer 22)
Die betroffene Aufsichtsbehörde ist „eine Aufsichtsbehörde, die von der Verarbeitung personenbezogener Daten betroffen ist, weil
- der Verantwortliche oder der Auftragsverarbeiter im Hoheitsgebiet des Mitgliedstaats dieser Aufsichtsbehörde niedergelassen ist,
- diese Verarbeitung erhebliche Auswirkungen auf betroffene Personen mit Wohnsitz im Mitgliedstaat dieser Aufsichtsbehörde hat oder haben kann oder
- eine Beschwerde bei dieser Aufsichtsbehörde eingereicht wurde.“
Grenzüberschreitende Verarbeitung (Nr. 23)
Der Begriff der grenzüberschreitenden Verarbeitung ist von Bedeutung für die Bestimmung und Funktion der federführenden Aufsichtsbehörde (Art. 56 DSGVO).
Gemäß Art. 4 Nr. 23 DSGVO ist die „grenzüberschreitende Verarbeitung entweder
- eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten von Niederlassungen eines Verantwortlichen oder eines Auftragsverarbeiters in der Union in mehr als einem Mitgliedstaat erfolgt, wenn der Verantwortliche oder Auftragsverarbeiter in mehr als einem Mitgliedstaat niedergelassen ist, oder
- eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten einer einzelnen Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, die jedoch erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat hat oder haben kann.“
Maßgeblicher und begründeter Einspruch (Nummer 24)
Gemäß Art. 60 DSGVO arbeitet die federführende Aufsichtsbehörde mit den anderen betroffenen Aufsichtsbehörden zusammen. Im Rahmen dieser Zusammenarbeit kann eine betroffene Aufsichtsbehörde gegen einen Beschlussentwurf der federführenden Aufsichtsbehörde einen maßgeblichen und begründeten Einspruch einlegen (Art. 60 Abs. 4 DSGVO).
Dieser ist nach Art. 4 Nr. 24 DSGVO definiert als „Einspruch im Hinblick darauf, ob ein Verstoß gegen diese Verordnung vorliegt oder ob die beabsichtigte Maßnahme gegen den Verantwortlichen oder den Auftragsverarbeiter im Einklang mit dieser Verordnung steht, wobei aus diesem Einspruch die Tragweite der Risiken klar hervorgeht, die von dem Beschlussentwurf in Bezug auf die Grundrechte und Grundfreiheiten der betroffenen Personen und gegebenenfalls den freien Verkehr personenbezogener Daten in der Union ausgehen“.
Dienst der Informationsgesellschaft (Nummer 25)
Dienst der Informationsgesellschaft ist eine „Dienstleistung im Sinne des Art. 1 Nr. 1 Buchst. b der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates“.
Diese Dienstleistung ist dort definiert als „jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung“ und wird dort auch genauer erläutert.
Internationale Organisation (Nummer 26)
Eine internationale Organisation im Sinne der DSGVO ist „eine völkerrechtliche Organisation und ihre nachgeordneten Stellen oder jede sonstige Einrichtung, die durch eine zwischen zwei oder mehr Ländern geschlossene Übereinkunft oder auf der Grundlage einer solchen Übereinkunft geschaffen wurde“.
Internationale Organisationen unterliegen grundsätzlich nicht dem Recht einzelner Staaten. Daher sind bei Datenübermittlungen an diese Organisationen ähnliche Regelungen anzuwenden wie bei der Datenübermittlung an Verantwortliche in Drittstaaten.
Der Begriff umfasst im Zusammenhang mit der DSGVO insbesondere die durch völkerrechtliche Vereinbarungen geschaffenen zwischenstaatlichen Organisationen, etwa die der Vereinten Nationen, der NATO oder der OECD. Ebenfalls von diesem Begriff erfasst sind alle zwischenstaatlichen Organisationen, die durch die Vereinbarung von mindestens zwei Staaten begründet sind.
Privatrechtliche Organisationen mit internationaler Mitgliedschaft ohne völkerrechtliches Mandat, zum Beispiel humanitäre Nichtregierungsorganisationen, fallen nicht unter diese Begriffsbestimmung. Diese Organisationen unterliegen für den Datenschutz dem nationalen Recht ihres Landes.
Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG |
Inkrafttreten:24.05.2016, Gültigkeit: 25.05.2018 Quelle: Amtsblatt der Europäischen Union vom 04. Mai 2016 unter L 119/1 |
Die Datenschutzgrundverordnung (VO (EU) 2016/679) trat am 24.05.2016 in Kraft und gilt seit dem 25.05.2018 unmittelbar in allen Mitgliedstaaten der Europäischen Union.