Eine wichtige Änderung ermöglicht es zudem, dass die ersuchende

Person von dem Verantwortlichen nunmehr unentgeltlich eine Kopie

der personenbezogenenDaten, dieGegenstandderVerarbeitung sind,

verlangenkann.

DanebenenthältdieEU-DSGVOnebendentraditionellenARCORechten

(acceso, rectificación, cancelación y oposición = Zugang, Berichtigung,

Sperrung, Einspruch) auch neue Betroffenenrechte. So steht dem Be-

troffenen nun als Manifestation der Widerrufsrechte das „Recht auf

Vergessenwerden“zu.DanebenkannderVerantwortlicheauchdieEin-

schränkung der Verarbeitung verlangen, wenn die dafür vorgesehenen

Voraussetzungen des Art. 18 Abs. 1 EU-DSGVO vorliegen. Dieses Recht

steht nur demBetroffenenzuunddarf nichtmit derMöglichkeit derDa-

tensperre imLOPDverwechseltwerden.

Als erweiterte Form des Auskunftsrechts ermöglicht das Recht auf Da-

tenübertragbarkeitdemBetroffenenseineDateneinemanderen,dritten

Verantwortlichen zu übermitteln, wenn die Verarbeitung mithilfe auto-

matisierter Verfahren erfolgt und/oder die Verarbeitung auf einer

Einwilligungoder auf einemVertragberuht.

ImVerhältnisVerantwortlicher –Auftragsverarbeiter ergebensichdurch

dieEU-DSGVOdrei Neuerungen.

•DieEU-DSGVObeinhaltet nunmehr ausdrücklichPflichten für dieAuf-

tragsverarbeiter.Somüssensie–ggf.auchihreVertreter–beispielsweise

ein Verzeichnis führen, das die Verarbeitungstätigkeit dokumentiert.

Die Auftragsverarbeiter können auch von den Datenschutzbehörden

gesondert überwachtwerden.

• Während das LOPDdie Notwendigkeit einer Due Diligence bei der

Auswahl Auftragsverarbeiter festlegt, sollen die Verantwortlichen

nach der EU-DSGVO nur Auftragsverarbeiter heranziehen, die –

insbesondere im Hinblick auf Fachwissen, Zuverlässigkeit und

Ressourcen – hinreichendeGarantiendafür bieten, dass technische

und organisatorische Maßnahmen – auch für die Sicherheit der

Verarbeitung – getroffen werden, die den Anforderungen dieser

Verordnung genügen.

•Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der

Grundlage eines Vertrags oder eines anderen Rechtsakts, der den

AuftragsverarbeiterinBezugaufdenVerantwortlichenbindet.Vertraglich

sollen Gegenstand und Dauer der Verarbeitung, Art und Zweck der

Verarbeitung,dieArtderpersonenbezogenenDatenunddieKategorien

vonbetroffenenPersonen festgelegtwerden.DieVerträge, dievor der

AnwendungEU-DSGVO imMai 2018abgeschlossenwurden,müssen

daher gegebenenfallsmodifiziert undangepasstwerden.

Überdies stellt die EU-DSGVO Leitlinien auf, die die Verantwortlichen

und bei Gelegenheit auch die Auftragsverarbeiter zu beachten haben.

Zunächst sollen imRahmeneiner objektivenRisikobewertungEintritts-

wahrscheinlichkeit undSchwerevonEingriffen inRechteundFreiheiten

derbetroffenenPersoninBezugaufdieArt,denUmfang,dieUmstände

und die Zwecke der Verarbeitung bestimmt werden. Zusätzlich soll

jeder Verantwortliche und Auftragsverarbeiter ein Verzeichnis aller

Verarbeitungstätigkeiten führen. Diese Pflicht gilt jedoch nicht für

Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter

beschäftigen, es sei denndievon ihnenvorgenommeneVerarbeitung

birgt einRisiko für dieRechteundFreiheitender betroffenenPersonen,

die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine

Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1

bzw.dieVerarbeitungvonpersonenbezogenenDatenüberstrafrechtliche

Verurteilungen und Straftaten imSinne des Artikels 10.

NachdeminderEU-DSGVOverankertenVerantwortungsprinzipmüssen

die Verantwortlichen im Hinblick auf die Datenverarbeitung geeignete

technische und organisatorische Maßnahmen ergreifen. Dabei sollen

bei der Auswahl der Maßnahmen im Gegensatz zur LOPD mehrere

Variablenberücksichtigtwerden,nämlichderStandderTechnik,dieIm-

plementierungskosten und die Art, der Umfang, die Umstände und die

Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahr-

scheinlichkeit und Schwere der mit der Verarbeitung verbundenen

RisikenfürdieRechteundFreiheitennatürlicherPersonen.Alsmögliche

MaßnahmenkommenbeispielsweiseeineMinimierungderVerarbeitung

personenbezogenerDaten,einePseudonymisierungpersonenbezogener

Daten und die Transparenz in Bezug auf die Funktionen und die

Verarbeitung personenbezogener Daten in Betracht. Geht jedoch aus

einerDatenschutz-Folgenabschätzunghervor,dassVerarbeitungsvorgänge

einhohesRisikobergen, dasderVerantwortlichenicht durchgeeignete

MaßnahmeninBezugaufverfügbareTechnikundImplementierungskosten

eindämmen kann, so sollte die Aufsichtsbehörde vor der Verarbeitung

informiertwerden.IsteshingegenschonzueinerVerletzungdesDaten-

schutzes gekommen, muss der Verantwortliche die zuständige Daten-

schutzbehörde benachrichtigen, es sei denn, es ist unwahrscheinlich,

dass die Verletzung ein Risiko für die Rechte und Freiheiten der

betroffenenPersonendarstellt.

Der Verantwortliche und der Auftragsverarbeiter haben zudem unter

denVoraussetzungendesArt. 37Abs. 1 EU-DSGVOeinenDatenschutz-

beauftragten zu benennen. Die Auswahl erfolgt auf der Grundlage

seiner beruflichen Qualifikation und insbesondere seines Fachwissens

sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39

genanntenAufgaben.

Nach alledem scheinen einige Lücken im Datenschutzrecht durch

die neue EU-DSGVO geschlossen. Für die Unternehmen bedeutet

dies zunächst, dass sie ihre Datenschutzerklärungen überprüfen

sollten. Diesemussnunmehr dieRechtsgrundlage für dieVerarbeitung

der Daten enthalten, die Aufbewahrungsfristen der Daten nennen

undauf dieMöglichkeit der Beschwerdebei der Datenschutzbehörde

hinweisen. Daneben sollte eine möglichst zeitnahe Modifizierung

der bisherigen Arbeitsabläufe und Prozesse sowie der IT-Systeme

und Strukturen der Datenverarbeitung erfolgen, um die Wahrung

der Verordnung zu gewähren.

Caterina Hanke

Ref. Jur.

78

economía

HISPANO-ALEMANA

Nº 4/2017