Легкое чтение
Серьезное чтение
История
Бизнес-книги
Знания и навыки
Психология, мотивация
Спорт, здоровье, красота
Хобби, досуг
Дом, дача
Детские книги
Родителям
Публицистика и периодические издания
Эксклюзивы
Черновики
Бесплатные книги
Все 142 жанра

Читать книгу: «Datenschutz bzgl. Kundendaten bei Unternehmenstransaktionen unter besonderer Berücksichtigung der DSGVO», страница 6

Carmen Födisch
Шрифт:

c. Besondere Kategorien personenbezogener Kundendaten

Besondere Kategorien personenbezogener Daten von Kunden sind darüber hinaus besonders zu schützen, da bei ihrer Verarbeitung für gewöhnlich erhebliche Risiken für die Grundrechte und Grundfreiheiten bestehen können (Erwägungsgrund 51 Satz 1). Gem. Art. 9 Abs. 1 DSGVO handelt es sich hierbei um solche personenbezogenen Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen sowie um genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. Unternehmen ist es grundsätzlich untersagt, diese zu verarbeiten (vgl. Art. 9 Abs. 1 DSGVO), es sei denn, eine der restriktiven Verarbeitungsbefugnisse nach Art. 9 Abs. 2 DSGVO liegt vor.174 Im nicht-öffentlichen Bereich wird es daher zumeist auf eine Einwilligung des Kunden gem. Art. 9 Abs. 2 lit. a DSGVO ankommen, um eine Verarbeitung solcher ‚sensiblen‘ Kundendaten seitens der Unternehmen zu legitimieren.

Die Verarbeitung besonderer Kategorien personenbezogener Daten von Kunden kann u.a. in der Gesundheitsindustrie, Versicherungsbranche oder der Erotikindustrie von Relevanz sein.175 Abgesehen davon handelt es sich jedoch bei einem Großteil der in einem Unternehmen verarbeiteten ‚sensiblen‘ Daten um solche der eigenen Mitarbeiter.

3. Beschäftigtendaten

Neben den Kundendaten machen die Informationen über die Mitarbeiter einen wichtigen Teilbereich der Daten im Unternehmen aus. Diese Beschäftigtendaten betreffen in der Regel solche Informationen, deren Verarbeitung für die Durchführung des Beschäftigtenverhältnisses notwendig ist.176 Relevante Mitarbeiterdaten, die personenbezogene Daten enthalten, sind bspw. Arbeitsverträge und Personalakten einschließlich Bewerbungsunterlagen.177 Solche Informationen zu den arbeitsrechtlichen Verhältnissen geben Aufschluss über die wirtschaftlichen Umstände im Unternehmen, weshalb sie für den Erwerber eines Unternehmens ebenso von Interesse sind.178

Von datenschutzrechtlicher Brisanz sind die Daten der Mitarbeiter bei einer Unternehmenstransaktion insbesondere aufgrund ihrer Sensibilität und des damit einhergehenden hohen Schutzbedarfs,179 wenn auch die Menge an Daten, die dabei übertragen werden, grundsätzlich geringer im Vergleich zu den Kundendaten ausfallen dürfte. Eine Besonderheit des Beschäftigtendatenschutzrechts liegt darin, dass der Bundesgesetzgeber von der Öffnungsklausel des Art. 88 DSGVO Gebrauch gemacht und in § 26 BDSG n.F. besondere Regeln des bisherigen Beschäftigtendatenschutzes übernommen hat.180 Diese Regelung berührt aber nicht die Frage, ob es zulässig ist, bei Unternehmenstransaktionen Beschäftigtendaten weiterzugeben. Deshalb sind die datenschutzrechtlichen Voraussetzungen der Übermittlung dieser Daten während der Due Diligence und beim Vollzug der Unternehmenstransaktion (nach Maßgabe der jeweiligen Gestaltungsform) grundsätzlich anhand der allgemeinen Vorgaben des Art. 6 DSGVO zu beleuchten.181

4. Nicht personenbezogene Unternehmensdaten

Den strengen Voraussetzungen der DSGVO unterliegen hingegen nicht Unternehmensdaten bzw. maschinengenerierte Daten, die keinerlei Personenbezug aufweisen. Solche nicht personenbezogenen Daten können aber auch – ähnlich wie Geschäftskundendaten – eine Angabe über eine natürliche Person enthalten, wenn eine solche Information auf eine natürliche Person durchschlägt. Sofern also Maschinendaten oder industrielle Daten mit anderen personenbezogenen Daten verknüpft werden, kann unter Umständen der Anwendungsbereich der DSGVO eröffnet sein.182

III. Das Verbotsprinzip mit Erlaubnisvorbehalt gem. Art. 6 DSGVO

Die oben dargelegten Begriffsdefinitionen bilden die Grundlage für das Verständnis des Art. 6 DSGVO, der als zentrale Norm der DSGVO die Zulässigkeitsvoraussetzungen einer Verarbeitung von personenbezogenen Daten begründet.183 Als Ausprägung des Datenschutzprinzips aus Art. 5 Abs. 1 lit. a DSGVO, wonach personenbezogene Daten auf rechtmäßige Weise verarbeitet werden müssen, wurde in der DSGVO an dem Grundsatz des Verbots mit Erlaubnisvorbehalt festgehalten (sog. Verbotsprinzip).184 Danach sind Datenverarbeitungen gerade nicht erlaubt, sondern grundsätzlich verboten, es sei denn, die betroffene Person hat eingewilligt oder ein gesetzlicher Erlaubnistatbestand legitimiert die Datenverarbeitung.185 Abgesehen von den aus Art. 288 Abs. 2 und 3 AEUV folgenden Unterschieden entspricht Art. 6 DSGVO in Teilen seiner Vorgängerregelung des Art. 7 EU-Datenschutzrichtlinie.186 Jede Verarbeitung von Kundendaten im Rahmen von Unternehmenstransaktionen ist daher nach Art. 6 Abs. 1 DSGVO nur zulässig, sofern der Kunde in die konkrete Datenverarbeitung eingewilligt hat oder ein Rechtfertigungstatbestand dies erlaubt.

1. Die Gleichrangigkeit und das Konkretisierungsbedürfnis der Zulässigkeitsvarianten

Die Zulässigkeitsvarianten des Art. 6 Abs. 1 DSGVO im Umgang mit personenbezogenen Daten stehen in keinem Stufenverhältnis zueinander, sondern sind gleichrangig nebeneinander anwendbar. Insbesondere die Annahme, die Einwilligung müsse als lex specialis gegenüber den anderen gesetzlichen Erlaubnistatbeständen angesehen werden, widerspricht dem Gesetzeswortlaut.187 Im Rahmen des Löschungsrechts der betroffenen Personen nach Art. 17 Abs. 1 lit. b DSGVO hat der europäische Gesetzgeber klargestellt, dass erst dann die Löschung der personenbezogenen Daten verlangt werden kann, wenn nach widerrufener Einwilligung auch keine anderweitige Rechtsgrundlage für die Verarbeitung vorliegt. Dies impliziert, dass die Erlaubnistatbestände des Art. 6 Abs. 1 DSGVO in gleicher Wertigkeit zueinanderstehen und eben auch dann eine Datenverarbeitung gerechtfertigt sein kann, wenn der Erlaubnistatbestand gem. Art. 6 Abs. 1 lit. a DSGVO weggefallen ist. In diesem Fall muss zwar der Umstand des Widerrufs oder der Verweigerung der Einwilligung im Rahmen der Erforderlichkeitsprüfung der Verarbeitung sowie der allgemeinen Interessenabwägung nach Art. 6 Abs. 1 lit. b und lit. f DSGVO Berücksichtigung finden, jedoch kann nicht allein deshalb per se von einer unzulässigen Datenverarbeitung ausgegangen werden.188 Eine wichtige Erkenntnis für datenverarbeitende Unternehmen liegt deshalb darin, dass sie keine Einwilligung bräuchten, wenn ohnehin die Datenverarbeitung von den gesetzlichen Erlaubnistatbeständen gem. Art. 6 Abs. 1 lit. b bis f DSGVO erfasst wäre.189 Im Umkehrschluss kann eine Datenverarbeitung zulässig sein, wenn die betroffene Person in die Datenverarbeitung eingewilligt hat, auch wenn kein sonstiger Erlaubnistatbestand die Verarbeitung rechtfertigen würde.

Jedoch kann die Beurteilung, ob die konkrete Verarbeitung der Kundendaten auf Grundlage einer dieser Erlaubnistatbestände zulässig ist, angesichts der Tatsache, dass die Zulässigkeitsvarianten konkretisierungsbedürftig sind, eine große Herausforderung für Unternehmen darstellen. Die offene Interessenabwägung erweist sich damit durchaus als Risikofaktor in der Privatwirtschaft. Während in der Vergangenheit gerichtlich lediglich über die Kriterien der Einwilligung entschieden wurde,190 fehlte es an Rechtsprechung zu den gesetzlichen Erlaubnistatbeständen und Spezifizierungen ihrer Anwendung.191 Gleiches gilt unter der DSGVO fort.192 Es kann lediglich darauf gehofft werden, dass die Datenschutzaufsichtsbehörden Empfehlungen oder der EDSA Leitlinien zeitnah veröffentlichen werden, die zu einer einheitlichen Anwendung des Datenschutzrechts beitragen. Es ist bspw. zu präzisieren, welche konkrete Verarbeitungssituation i.S.v. Art. 6 Abs. 1 lit. f DSGVO als zulässig zu erachten ist.193

2. Art. 6 Abs. 1 lit. f DSGVO als zentrale Rechtsgrundlage bei Unternehmenstransaktionen

Diese bereits beschriebene Rechtsunsicherheit wirkt sich vor allem auf Unternehmenstransaktionen aus, wenn Unternehmen ex-ante zu entscheiden haben, ob die Übermittlung der Kundendaten nach Art. 6 DSGVO gerechtfertigt ist. Da auch das BDSG n.F. keine weiteren Konkretisierungen zum rechtmäßigen Umgang mit Kundendaten enthält, bleibt es vorerst den Unternehmen überlassen, die teils generalklauselartigen Erlaubnistatbestände selbst auszulegen.194

Von den in Art. 6 Abs. 1 DSGVO aufgelisteten Zulässigkeitstatbeständen, die viel Spielraum ermöglichen, ist vor allem Art. 6 Abs. 1 lit. f DSGVO eine mögliche Rechtsgrundlage für die Verarbeitung von Kundendaten im Rahmen von Unternehmenstransaktionen.195 Seiner Betitelung als Generalklausel wird Art. 6 Abs. 1 lit. f DSGVO mehr als gerecht, da der Wortlaut der Vorschrift sehr vage formuliert und von unbestimmten Rechtsbegriffen geprägt ist, die erneut Auslegungsschwierigkeiten hervorrufen.196 Dass eine Verarbeitung personenbezogener Daten infolge einer Interessenabwägung legitimiert ist, wenn drei kumulative Voraussetzungen vorliegen, hat der EuGH jedoch schon zu Art. 7 lit. f EU-Datenschutzrichtlinie festgestellt.197 Aufgrund der in dieser Hinsicht ähnelnden Rechtslage lassen sich dessen Ausführungen auch auf die DSGVO anwenden.198

a. Berechtigtes Interesse

Die erste dieser drei kumulativen Voraussetzungen für eine legitime Verarbeitung personenbezogener Daten ist ein berechtigtes Interesse an der Datenverarbeitung, das von dem Verantwortlichen oder von einem Dritten wahrgenommen wird.199 Dabei kann es sich um jedes von der Rechtsordnung gebilligte, wirtschaftliche oder ideelle Interesse handeln.200 Laut der Artikel-29-Datenschutzgruppe muss das berechtigte Interesse gesetzlich zulässig sowie hinreichend bestimmt sein und ein gegenwärtiges Interesse des Verantwortlichen widerspiegeln.201 Damit gilt das Vorliegen von berechtigten Interessen im Rahmen von Art. 6 Abs. 1 lit. f DSGVO als eines der „zentralen Stellschrauben für einen angemessenen Ausgleich zwischen den Interessen der Verbraucherinnen und Verbraucher einerseits und der Unternehmensinteressen andererseits“202 fort. Dass vor allem Kundenverhältnisse ein berechtigtes Interesse des Verantwortlichen an einer Datenverarbeitung begründen können, hat auch der europäische Gesetzgeber selbst als konkretes Beispiel in Erwägungsgrund 47 Satz 2 angeführt.203 Trotz dieses Indizes sind nichtsdestoweniger die berechtigten Interessen stets kontextabhängig auszulegen.204

b. Erforderlichkeit

Um eine Verarbeitung personenbezogener Daten zu legitimieren, bedarf es zweitens der Erforderlichkeit der Datenverarbeitung, um das berechtigte Interesse zu verwirklichen.205 Das Merkmal der Erforderlichkeit, unter dessen Vorbehalt – mit Ausnahme der zulässigen Datenverarbeitung infolge einer Einwilligung – sämtliche Erlaubnistatbestände des Art. 6 Abs. 1 DSGVO stehen, trägt den Anforderungen der allgemeinen Datenschutzgrundsätze aus Art. 5 Abs. 1 DSGVO Rechnung.206 So ist die Datenverarbeitung auf der Grundlage von Art. 6 Abs. 1 lit. f DSGVO nur dann erforderlich, wenn keine milderen Maßnahmen zur Verfügung stehen, die dem verfolgten Ziel dienen würden.207 Entscheidend dabei ist, dass das Unternehmen über keine zumutbare Alternative zur betreffenden Datenverarbeitung verfügt, um das konkrete Ziel zu erreichen. Deshalb reicht die bloße Dienlichkeit der Datenverarbeitung zur Zweckerfüllung gerade nicht aus.208

c. Abwägung

Drittens muss eine Abwägung der jeweiligen gegenüberstehenden Interessen und Rechte stattfinden,209 bei der schließlich die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen dürfen.210 Hier sind vor allem zwei Aspekte zu erwägen: einerseits die zugrundeliegenden Motive, die das berechtigte Interesse des Verantwortlichen an der konkreten Datenverarbeitung begründen, und andererseits die Auswirkungen der Datenverarbeitung auf die betroffene Person, einschließlich des drohenden Grades der Beeinträchtigung für ihre Rechte und Freiheiten.211 In der Bewertung müssen mögliche Faktoren, wie etwa die Art und Weise der Verarbeitung, die vernünftigen Erwartungen der betroffenen Person an die Verarbeitung oder die Beziehung zwischen dem Verantwortlichen und der betroffenen Person Berücksichtigung finden (vgl. Erwägungsgrund 47).212 Insbesondere ist von erheblicher Bedeutung, dass die Umstände der Verarbeitung zum Zeitpunkt der Erhebung der personenbezogenen Daten abzusehen sind (Erwägungsgrund 47 Satz 3). Hingegen soll der Umstand, dass der Verantwortliche die sonstigen Vorschriften der DSGVO einhält, keinen Einfluss auf die Abwägung haben, es sei denn, der Verantwortliche kann aufgrund von konkreten Umständen des Einzelfalls durch die Implementierung von technischen und organisatorischen Maßnahmen ein weitaus höheres Schutzniveau als das angemessene Maß gewährleisten.213

Ein standardisiertes Vorgehen verbietet sich dennoch, denn dem EuGH ist zuzustimmen, dass die Abwägung „grundsätzlich von den konkreten Umständen des betreffenden Einzelfalls abhängt“214. Der europäische Gesetzgeber hat sich insofern mit der Konzeption eines offenen Abwägungstatbestandes, den Art. 6 Abs. 1 lit. f DSGVO verkörpert, an die einst vom EuGH aufgestellten Vorgaben gehalten. Danach darf das Ergebnis der Abwägung nicht abschließend vorgeschrieben werden, „ohne Raum für ein Ergebnis zu lassen, das auf Grund besonderer Umstände des Einzelfalls anders ausfällt“215. Überwiegen im Ergebnis der Interessenabwägung letztendlich die Interessen der betroffenen Person gegenüber denjenigen des Verantwortlichen oder des Dritten, kann die Datenverarbeitung nicht nach Art. 6 Abs. 1 lit. f DSGVO gerechtfertigt werden.216

d. Zwischenergebnis

Eine der größten Herausforderungen der praktischen Anwendung des Datenschutzes ist es, dass das normanwendende Unternehmen selbst unmittelbar die Abwägung vornimmt und dabei auch die Perspektive des Kunden einnehmen muss. Dazu hat es die vernünftigen Erwartungen der betroffenen Personen zu berücksichtigen (vgl. Erwägungsgrund 47 Satz 1 und 3)217 und nach einem gemischt subjektiv-objektiven Maßstab die gegenüberstehenden Interessen und Rechte zu gewichten.218 Es besteht die Gefahr, dass Unternehmen aus wirtschaftlichen Gründen dazu tendieren, auf Kosten der Rechte und Freiheiten des Kunden an die Grenzen der rechtlichen Zulässigkeit zu gehen.219

Die Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO bietet den Behörden und Gerichten in ihrer ex-post-Betrachtung hingegen große Flexibilität, was sich – anders als für private Datenverarbeiter – durchaus vorteilhaft in der Anwendung eines progressiven Datenschutzrechts auswirkt.220 Auch wenn oftmals aufgrund der umfangreichen Interessenabwägung im Einzelfall eine rechtssichere Bewertung der konkreten Verarbeitungstätigkeit nicht möglich ist, soll im Nachfolgenden im Grundsatz herausgearbeitet werden, ob die Verarbeitung der Kundendaten bei Unternehmenstransaktion insbesondere für die Wahrung der berechtigten Interessen der Unternehmen tatsächlich erforderlich ist und welche Eingriffsintensität dabei in Bezug auf die Interessen oder Grundrechte und Grundfreiheiten der Kunden zu erwarten ist.

IV. Der persönliche Anwendungsbereich der DSGVO und seine Auswirkungen auf die Unternehmensakteure

Wenn von Unternehmenstransaktionen die Rede ist, muss vorab erläutert werden, was unter dem Begriff des Unternehmens zu verstehen ist. In erster Linie kommt es dabei darauf an, welche datenschutzrechtlichen Institute der DSGVO auf Unternehmen angewandt werden können.

1. Das datenschutzrechtlich verantwortliche (Ziel-)Unternehmen
a. Der Begriff des Unternehmens im Allgemeinen

Als Anknüpfungspunkt, um das Objekt einer Transaktion zu bestimmen, dient zunächst der Begriff des Unternehmens.

Einen einheitlichen Unternehmensbegriff kennt weder das deutsche Recht, noch existiert dieser im ökonomischen Sinne.221 Aus betriebswirtschaftlicher Perspektive wird das Unternehmen als eine ökonomische Einheit der Gesamtwirtschaft betrachtet, das zu Erwerbszwecken auf eigene Rechnung und Gefahr betrieben wird.222 Ein juristischer Unternehmensbegriff hingegen muss im Hinblick auf den jeweiligen Normzweck eines Gesetzes wandelbar sein.223 Wenngleich dem BGH aus diesem Grund keine allgemein gültige Begriffsdefinition gelingen kann (oder konnte),224 wird dennoch gemeinhin unter Unternehmen eine organisierte und betriebsfähige Wirtschaftseinheit verstanden, die dem Unternehmer das Auftreten am Markt ermöglicht.225 Das Unternehmen als solches ist somit kein einheitliches Rechtsobjekt, sondern setzt sich aus einer komplexen Gesamtheit zusammen: aus körperlichen, beweglichen und unbeweglichen Sachen, jeglichen Rechten, tatsächlichen Beziehungen und Erfahrungen sowie unternehmerischen Handlungen, wie etwa im Einzelnen der betrieblichen Organisation, den Absatzmöglichkeiten einschließlich des Kundenkreises, den Geschäftsgeheimnissen und dem ‚Goodwill‘ (Ruf des Unternehmens bei Mitarbeitern, Vertragspartnern und in der Öffentlichkeit).226

Zwar weist der Unternehmensbegriff Unschärfen auf, jedoch erlauben erst diese, die Komplexität und Individualität eines Unternehmenskonstrukts zu begreifen. Im Unternehmensprivatrecht ist das Unternehmen daher die Summe seiner gesamten Vermögensgegenstände und wird als organisierte, am Markt wirkende Wirtschaftseinheit verstanden.227 Das dazugehörige Rechtssubjekt bildet jedoch der Unternehmensträger, der bei Unternehmenstätigkeiten der Inhaber der zum Unternehmen gehörenden Rechte und Pflichten ist.228

b. Der datenschutzrechtliche Unternehmensbegriff

Der datenschutzrechtliche Unternehmensbegriff in Art. 4 Nr. 18 DSGVO greift ebenfalls das Merkmal der Wirtschaftlichkeit auf. Die Definition des Unternehmens ist nicht an eine bestimmte Rechtsform geknüpft, sondern lediglich an das Merkmal der Ausübung einer wirtschaftlichen Tätigkeit durch eine natürliche oder juristische Person.229 Nach europarechtskonformer Auslegung gilt jedes Anbieten von Gütern oder Dienstleistungen auf einem bestimmten Markt als wirtschaftliche Tätigkeit.230 So sollen keine natürlichen Personen, die ausschließlich persönliche oder familiäre Datenverarbeitungstätigkeiten ausüben, vom datenschutzrechtlichen Unternehmensbegriff erfasst werden, vgl. Art. 2 Abs. 2 lit. c DSGVO.231

Es ist bemerkenswert, dass jeglicher Bezug zu einer datenverarbeitenden Tätigkeit fehlt. Wird der datenschutzrechtliche Unternehmensbegriff aber unter Berücksichtigung des Gesetzeszwecks der DSGVO begriffen, ist dieser Ansatz des europäischen Gesetzgebers nachvollziehbar. Im Grundsatz ist nur der Verantwortliche Normadressat der DSGVO und daher als Bezugspunkt dafür heranzuziehen, die Rechtmäßigkeit von Datenverarbeitungen zu beurteilen. Dennoch enthält die DSGVO für Unternehmen an anderen Stellen einzelne sowohl privilegierende als auch verschärfende Konsequenzen.232 Dabei impliziert der Begriff des Unternehmens ohnehin eine Verarbeitung von personenbezogenen Daten, denn andernfalls wäre der Anwendungsbereich der DSGVO erst gar nicht eröffnet.

c. Der Verantwortliche

Anders als der Unternehmensbegriff geht die Frage, wer rechtlich für die Einhaltung und Umsetzung der Datenschutzanforderungen verantwortlich ist, mit der Bestimmung des Verantwortlichen einher, denn der Begriff dient dazu, „Verantwortung zuzuweisen“.233 Für jede Verarbeitungstätigkeit soll eine Rechtsperson Verantwortung übernehmen.234 Primär wird durch die zentrale Rolle des Verantwortlichen aber nicht nur festgelegt, wem die Pflicht zur Einhaltung der Vorgaben der DSGVO und deren Nachweis auferlegt wird (vgl. Art. 24 DSGVO), sondern auch gegenüber wem betroffene Personen und Behörden ihre etwaigen datenschutzrechtlichen Ansprüche und anderen Begehren geltend machen können.235

Nach der Definition des Art. 4 Nr. 7 DSGVO, die wortgleich aus der EU-Datenschutzrichtlinie übernommen wurde, gilt jede natürliche oder juristische Person als Verantwortlicher, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.236 Grundsätzlich ist der Begriff extensiv auszulegen, denn das Ziel dieser Bestimmung liegt darin, einen wirksamen und umfassenden Schutz der betroffenen Personen zu gewährleisten.237 Das wesentliche Merkmal eines Verantwortlichen ist dessen Entscheidungsmöglichkeit über die Zwecke und Mittel der Verarbeitung.238 Statt auf formale Kriterien kommt es vielmehr auf die tatsächliche Entscheidungsfähigkeit über und den faktischen Einfluss auf die Verarbeitungsvorgänge an sich an.239 Als Verantwortlicher gilt daher derjenige, der die eigentliche Kontrolle über die Verarbeitung innehat.240

Aus datenschutzrechtlicher Perspektive ist ferner eine Abgrenzung des Verantwortlichen zu anderen Akteuren erforderlich, wie sie in der Negativdefinition des Dritten i.S.v. Art. 4 Nr. 10 DSGVO genannt werden.241 Als Dritter gilt insbesondere jede natürliche oder juristische Person, die nicht betroffene Person, Verantwortlicher oder Auftragsverarbeiter ist. Außerdem werden von der Definition des Dritten solche Personen ausgeschlossen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, personenbezogene Daten zu verarbeiten. Solche Dritte gehören in der datenschutzrechtlichen Organisation nicht dem Verantwortlichen oder Auftragsverarbeiter an, da sie funktionell für sich selbst arbeiten, jedoch (unabhängig von ihrer arbeitsrechtlichen Zuordnung) den fachlichen Weisungen unterstellt sind (bspw. freiberufliche Mitarbeiter).242 Folgerichtig bedeutet dies für das Merkmal des Verantwortlichen, dass grundsätzlich jeder Dritter, der von einem anderen dieselben personenbezogenen Daten empfängt, selbst zum tätigen Verantwortlichen gegenüber der betroffenen Person wird, vorausgesetzt, die weiteren Anforderungen zur Begründung der Verantwortlichkeit liegen vor.243

Carmen Födisch
0
Оставить отзыв
8 168,03 ₽
Жанры и теги
Адвокатура
Возрастное ограничение:
0+
Объем:
541 стр. 2 иллюстрации
ISBN:
9783800593811
Издатель:
Правообладатель:
Bookwire
Формат скачивания:
epub, fb2, fb3, ios.epub, mobi, pdf, txt, zip

С этой книгой читают

Хит продаж

Орден Архитекторов 5

Олег Сапфир и др.
Черновик
4,9
453