DSGVO & IT-Recht
Die Datenschutz-Grundverordnung (Verordnung (EU) 2016/679, DSGVO) ist seit Mai 2018 anwendbar. Seitdem hat sie sich von einem Implementierungsprojekt zu einem dauerhaften Betriebserfordernis entwickelt. Aufsichtsbehörden verhangen Bußgeldrekordsummen, der CJEU präzisiert Normen durch Vorabentscheidungen, und neue Technologien werfen immer neue Datenschutzfragen auf. Für Tech-Unternehmen bedeutet das: DSGVO-Compliance ist keine einmalige Aufgabe, sondern ein kontinuierlicher Prozess.
Ich berate Unternehmen bei der rechtssicheren Gestaltung von Produkten, Prozessen und Vertragsstrukturen. Mit Kenntnissen der deutschen, englischen (UK GDPR) und griechischen Datenschutzregime sowie des EU-Rahmens begleite ich auch komplexe Mehrjurisdiktions-Mandate.
Rechtsgrundlagen für die Datenverarbeitung
Jede Verarbeitungstätigkeit bedarf einer Rechtsgrundlage nach Art. 6 DSGVO. Für Tech-Unternehmen sind insbesondere drei Grundlagen relevant: Art. 6 Abs. 1 lit. a (Einwilligung), Art. 6 Abs. 1 lit. b (Vertragserfüllung) und Art. 6 Abs. 1 lit. f (berechtigte Interessen). Die Wahl der Rechtsgrundlage ist keine Formsache: Sie bestimmt, welche Rechte Betroffene geltend machen können und welche Anforderungen an Transparenz und Dokumentation gelten.
Besonders kritisch: Die Verwendung von Einwilligung als Rechtsgrundlage für Tracking, Profiling oder Werbung ist nach der ePrivacy-Rechtsprechung und den EDSA-Leitlinien 05/2020 zu Einwilligung erheblich eingeschränkt. Ich prüfe Ihre Verarbeitungsverzeichnisse und identifiziere Schwachstellen in der Rechtsgrundlagenarchitektur.
Auftragsverarbeitung: Art. 28 DSGVO in der Praxis
Wer personenbezogene Daten im Auftrag eines anderen verarbeitet, ist Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO. Das Verhältnis muss durch einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 Abs. 3 DSGVO geregelt sein. Die Anforderungen an den AVV sind präzise: Gegenstand und Dauer der Verarbeitung, Art und Zweck, Art der personenbezogenen Daten, Kategorien betroffener Personen sowie Rechte und Pflichten des Verantwortlichen sind festzuhalten.
In der Praxis sind AVVs häufig unvollständig oder entsprechen nicht dem aktuellen Stand. Besonderer Prüfbedarf besteht bei: Subauftragsverarbeitern (Art. 28 Abs. 2, 4 DSGVO), Weisungsrechten, Losch- und Rückgabepflichten bei Vertragsende, und der Dokumentation technisch-organisatorischer Maßnahmen als Anlage. Ich erstelle und prüfe AVVs und identifiziere Lücken in bestehenden Strukturen.
Internationale Datentransfers nach Kapitel V DSGVO
Die Übermittlung personenbezogener Daten in Drittländer außerhalb des EWR ist nur zulässig, wenn eine der in Art. 44 ff. DSGVO geregelten Garantien vorliegt. Adäquanzbeschluße existieren derzeit unter anderem für das UK (Beschluss vom 28. Juni 2021, prüfungspflichtig), die Schweiz, Japan und die USA (EU-US Data Privacy Framework, Beschluss vom 10. Juli 2023).
Wo kein Adäquanzbeschluß besteht, sind Standardvertragsklauseln (SCCs, Durchführungsbeschluss (EU) 2021/914) das meistgenutzte Instrument. Seit Schrems II (CJEU, C-311/18) ist zusätzlich ein Transfer Impact Assessment (TIA) erforderlich, dass die Rechtslage im Empfängerland und die tatsachliche Zugriffsmöglichkeit durch Behörden bewertet. Ich entwickle TIA-Methodiken und prüfe bestehende Transfermechanismen auf ihre Rechtskonformität.
KI und Datenschutz: Spannungsfelder
Der Einsatz von KI-Systemen wirft spezifische DSGVO-Fragen auf. Vier Bereiche sind besonders relevant:
Profiling und automatisierte Entscheidung (Art. 22 DSGVO): Vollautomatisierte Entscheidungen mit rechtlicher oder erheblich beeinträchtigender Wirkung sind grundsätzlich untersagt, es sei denn, sie stützen sich auf eine der Ausnahmen nach Art. 22 Abs. 2. Das Recht auf menschliche Überprüfung ist nicht abdingbar.
Trainingsdaten: Die Verwendung personenbezogener Daten zum Training von KI-Modellen bedarf einer Rechtsgrundlage. Art. 6 Abs. 1 lit. f kann grundsätzlich herangezogen werden, erfordert aber eine sorgfältige Interesseabwägung. Web Scraping als Methode zur Datenbeschaffung für das Training ist zunehmend Gegenstand behördlicher Untersuchungen.
Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO): Daten, die für einen bestimmten Zweck erhoben wurden, dürfen nicht ohne weiteres für das Training eines KI-Modells verwendet werden. Die Vereinbarkeit mit dem ursprünglichen Zweck muss im Einzelfall bewertet werden.
Datenschutz durch Technikgestaltung (Art. 25 DSGVO): KI-Systeme müssen so konzipiert sein, dass datenschutzfreundliche Voreinstellungen sichergestellt sind. Das betrifft Datensparsamkeit, Anonymisierung wo möglich und Zugriffskontrollen.
Datenschutz-Folgenabschatzung (Art. 35 DSGVO)
Die DSFA ist verpflichtend bei Verarbeitungen, die "voraussichtlich ein hohes Risiko" für die Rechte und Freiheiten natürlicher Personen mit sich bringen. Die nationalen Aufsichtsbehörden veröffentlichen Positiv- und Negativlisten (vgl. BfDI). Typische Hochrisikoszenarien für Tech-Unternehmen: systematisches und umfangreiches Profiling, Verarbeitung biometrischer Daten, Überwachung öffentlich zugänglicher Bereiche, Verarbeitung von Gesundheitsdaten.
Die DSFA ist mehr als ein Formular: Sie ist ein strukturiertes Risikoanalyse-Instrument, das Maßnahmen zur Risikomitigation identifizieren und dokumentieren soll. Eine unzureichende DSFA kann selbst zu einem Bußgeldfaktor werden. Ich erstelle DSFA-Dokumentationen und prüfe bestehende Folgenabschatzungen auf ihren aktuellen Stand.
Transparente Beratungspakete für diesen Bereich
Strukturierte Pakete mit klaren Leistungen und transparenten Preisen.
Häufig gestellte Fragen
Was sind die häufigsten DSGVO-Verstöße, die zu Bußgeldern führen?+
Auf Basis der veröffentlichten Bußgeldbeschlusse der EU-Datenschutzbehörden (Datenbank: enforcementtracker.com) sind die häufigsten Grunde: unzureichende Rechtsgrundlage für die Verarbeitung (Art. 6 DSGVO), mangelnde technische und organisatorische Sicherheitsmaßnahmen (Art. 32 DSGVO), unzureichende Transparenz gegenüber Betroffenen (Art. 13, 14 DSGVO), und Datentransfers ohne ausreichende Garantien (Art. 44 ff. DSGVO). Das höchste Bußgeldrisk liegt derzeit im Bereich Tracking und Online-Werbung.
Gilt die DSGVO auch für mein Unternehmen, wenn ich außerhalb der EU sitze?+
Ja, wenn das Marktortprinzip nach Art. 3 Abs. 2 DSGVO greift. Das ist der Fall, wenn Sie Waren oder Dienstleistungen an Personen in der EU anbieten (unabhängig von der Entgeltlichkeit) oder das Verhalten von Personen in der EU beobachten. Indizien: EU-Sprachen, EUR-Preise, Lieferung in EU-Staaten. Unternehmen ohne EU-Niederlassung müssen unter Umständen einen EU-Vertreter nach Art. 27 DSGVO benennen.
Wie unterscheidet sich UK GDPR von der EU DSGVO nach dem Brexit?+
Das UK hat die DSGVO durch den EU Withdrawal Act 2018 als UK GDPR in nationales Recht überführt. Inhaltlich besteht weitgehende Parallelität. Divergenzen bestehen bei: internationalen Datentransfers (das UK hat eigene Adaquanzbeschlüsse erlassen, teils abweichend von der EU), der Aufsichtsstruktur (ICO statt nationaler DPAs), und dem potenziellen künftigen Auseinanderdriften der Rechtsentwicklung. Unternehmen, die Daten sowohl im EU- als auch im UK-Kontext verarbeiten, benötigen parallele Compliance-Strukturen.
Was kostet mich ein DSGVO-Verstoß tatsachlich?+
Art. 83 DSGVO sieht zwei Bußgeldstufen vor: bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes für Verstoße gegen Pflichten nach Art. 8, 11, 25-39, 42, 43; bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes für Verstoße gegen Grundsatze, Rechtsgrundlagen, Betroffenenrechte und Drittlandtransfers. Hinzukommen: zivilrechtliche Schadensersatzanspruche Betroffener nach Art. 82 DSGVO (auch immaterieller Schaden), Unterlassungsanspruche von Wettbewerbern und Verbanden nach UWG, und Reputationsschaden. Das Bußgeldsystem ist ein Faktor unter mehreren.
Die Inhalte dieser Seite dienen ausschließlich der allgemeinen Information und stellen keine Rechtsberatung im Einzelfall dar. Durch die Lektüre dieser Seite entsteht kein Mandatsverhältnis. Für eine verbindliche rechtliche Einschätzung wenden Sie sich bitte direkt an die Kanzlei.