Mein Angebot zum Datenschutzrecht 2018

Basisprüfung

250 EUR zzgl. 19% USt. = brutto 297,50 EUR
(gilt für Unternehmen bis 20 Beschäftigte)

1. Schritt:

Sie füllen unseren Fragebogen aus und senden uns diesen zur Prüfung des Umsetzungsbedarfes zurück.

2. Schritt:

Meine Kanzlei analysiert an Hand Ihrer Angaben Ihren Umsetzungbedarf.

Reaktion A: Soweit außer einer Änderung der Datenschutzerklärung Ihrer Website kein Umsetzungsbedarf gegeben ist, übersenden wir Ihnen eine überarbeitete Datenschutzerklärung, welche Sie dann bitte ab dem 25. Mai 2018 verwenden. Dies wird bei vielen kleinen Unternehmen der Fall sein, welche außer für die Bestellabwicklung die Daten Ihrer Kunden nicht speichern bzw. erheben.

Reaktion B: Soweit Umsetzungbedarf erkannt wurde, teilen wir Ihnen diesen mit. sie erhalten die Bereiche Ihres Unternehmens genannt, an welchen wir Probleme erkannt haben. Sie können dann umgehend mit der ggf. technischen oder organisatorischen Umsetzung starten, so dass Sie rechtzeitig zur Geltung der neuen datenschutzrechtlichen Regelungen rechtssicher auftreten können. Eine Datenschutzerklärung wird dann auf Grund der dann noch zu ändernden Gegebenheiten erst bei einer Nachprüfung erstellt werden.

Basisprüfung jetzt beauftragen

Nachprüfung

150 EUR zzgl. 19% USt. = brutto 178,50 EUR

1. Schritt:

Sie haben den sich aus der vorstehenden Basisprüfung ergebenden Umsetzungsbedarf abgearbeitet und alle angesprochenen Probleme datenschutzkonform gelöst.

2. Schritt:

Meine Kanzlei prüft auf Basis Ihrer Angaben, ob diese Umsetzung dem neuen Datenschutzrecht entspricht und wir übersenden Ihnen eine überarbeitete Datenschutzerklärung, welche Sie dann ab dem 25. Mai 2018 verwenden.

 

Die Alternative: Umsetzungsbegleitung / bzw. für Unternehmen mit mehr als 20 Beschätftigten

Abrechnung nach Stundensatz 250 EUR zzgl. 19% USt. = brutto 297,50 EUR

Gern können wir Ihr Unternehmen auf Basis unseres Zeithonorars über die Basisprüfung hinaus bei der Umsetzung der datenschutzrechtlichen Vorgaben begleiten (nachdem die Prüfung auf Grundlage des Basisangebotes einen weiteren Umsetzungsbedarf ergeben hat). So dass am Ende des Umsetzungsprozesses Ihr Unternehmen alle Voraussetzungen der Datenschutzgrundverordnung und des neuen BDSG erfüllt. Da hier je nach Unternehmensgröße und Unternehmensstruktur ein nicht vorab kalkuliererbarer zeitlicher Aufwand möglich ist, können wir hier leider kein Festpreisangebot unterbreiten.
Dieses Angebot richtet sich vor allem an Unternehmen, welche auf Grund Ihrer Größe bzw. der Komplexität der Datenverarbeitung bzw. Datennutzung einen erhöhten Beratungsbedarf im Zusammenhang mit der Umsetzung haben.

Zögern Sie nicht, sonst wird die Zeit ggf. zu knapp. Starten Sie noch heute die Beauftragung der Basisprüfung

-> Beauftragung der Basisprüfung

FAQ - Rund um das neue Datenschutzrecht 2018

Gilt die Datenschutzgrundverordnung überhaupt für mich als Unternehmer?

Ja, sobald Sie personenbezogene Daten verarbeiten. Und personenbezogene Daten sind alle Daten, die irgendwie einer Person zugeordnet sind und damit dann ein Bezug zu dieser Person hergestellt werden könnte (z.B. IP-Adresse, Telefonnummer etc.). Jedes Unternehmen, das eine Website betreibt, verarbeitet bereits die IP-Adresse und das Datum des Zugriffs und könnte damit einen Rückschluss auf eine Person des Nutzers ziehen. Jeder der die Adressen seiner Kunden im Computer speichert, verarbeitet bereits personenbezogene Daten. Somit betrifft die Datenschutzgrundverordnung eigentlich jeden Unternehmer.

Kann man die Datenschutzgrundverordnung durch eine Niederlassung außerhalb der EU umgehen?

Nein. Solange auch innerhalb der EU eine Niederlassung existiert (die Rechtsform der Niederlassung innerhalb der EU ist dabei unerheblich) und die Datenverarbeitung hierzu einen Bezug aufweist, gilt selbst für außereuropäische Unternehmen die verpflichtende Einhaltung der Datenschutzgrundverordnung. Und selbst wenn man innerhalb der EU gar keine Niederlassung mehr unterhält, muss man die Datenschutzgrundverordnung dennoch beachten, sobald man beabsichtigt gegenüber Personen in der Union Waren oder Dienstleistungen anzubieten (Art. 3 II a DSGVO).

Und wenn man nur EU-Bürger "beobachtet" und selbst überhaupt diesen kein Angebot unterbreitet?

Auch wer das Verhalten von Personen innerhalb der EU lediglich beobachtet (z.B. Profiling, Tracking, Analyse) muss sich an die Datenschutzgrundverordnung halten. Spätestens durch diese Regelung des Art. 3 II b DSGVO ist klargestellt, dass die Datenschutzgrundverordnugn weltweit einzuhalten ist.

Wann muss ein Unternehmen Betroffene über die Datenverarbeitung informieren?

Sofort, wenn die Daten direkt bei dem Betroffenen erhoben werden, Art. 13 DSGVO. 

Spätestens binnen eines Monats bzw. zum Zeitpunkt der ersten Kommunikation mit dem Betroffenen aber auf jeden Fall vor Weitergabe der Daten, wenn die Daten nicht beim Betroffenen selbst erhoben wurden (Art. 14 DSGVO).

Welche Informationen müssen gegeben werden?

Bei einer Datenerhebung direkt beim Betroffenen (soweit der Betroffene über diese Informationen nicht bereits verfügt):

  1. den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
  2. gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
  3. die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen
  4. die Rechtsgrundlage für die Verarbeitung;
  5. ggf. die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
  6. ggf. die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten
  7. ggf. die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln
  8. die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  9. das Bestehen eines Rechts auf Auskunft, Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
  10. ggf. das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
  11. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  12. ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist,
  13. ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte
  14. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling (inkl. Informationen über die involvierte Logik sowie die Tragweite einer derartigen Verarbeitung)
  15. Informationen über eine mögliche weiterverarbeitung der personenbezogenen Daten für einen anderen Zweck.

Bei einer Datenerhebung nicht beim Betroffenen (z.B. via Auskunftei, öffentlich zugängliche Quelle etc.) müssen nicht alle vorstehenden Informationen gegeben werden. Und auch hier gilt, dass die Information nicht gegeben werden muss, wenn der Betroffene hierüber bereits verfügt. Zusätzlich auch nicht, wenn es sich um geheimhaltungspflichtigte Daten handelt, die Mitteilung unmöglich und nur mit unverhältnismäßigem Aufwand möglich ist oder es eine Rechtsvorschrift gibt, welche diese Datenerhebung ausdrücklich geregelt hat. Soweit erforderlich, sind somit nachfolgende Informationen zu machen:

  1. den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
  2. gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
  3. die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen
  4. die Rechtsgrundlage für die Verarbeitung;
  5. die Kategorien personenbezogener Daten, die verarbeitet werden;
  6. ggf. die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten
  7. ggf. die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln
  8. die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  9. ggf. die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
  10. das Bestehen eines Rechts auf Auskunft, Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
  11. ggf. das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
  12. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  13. aus welcher Quelle die personenbezogenen Daten stammen;
  14. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling (inkl. Informationen über die involvierte Logik sowie die Tragweite einer derartigen Verarbeitung)
  15. Informationen über eine mögliche weiterverarbeitung der personenbezogenen Daten für einen anderen Zweck.

Diese vorstehenden Kataloge von Informationen können typischerweise in Datenschutzerklärungen gegeben werden, welche dem Betroffenen zur Kenntnis gegeben werden.

Zusätzlich noch ein Auskunftsrecht des Betroffenen?

Der Betroffene hat neben den vorstehenden Informationen, welche unaufgefordert von dem Unternehmen gegeben werden müssen, auch das Recht auf Auskunft in Bezug auf seine personenbezogenen Daten. Die entsprechende Aukunft bezieht sich im wesentlichen auf die Informationen, die der Betroffene sowieso bereits gemäß Art. 13 oder 14 DSGVO erhalten haben sollte. Diese Auskunft ist dem Betroffenen in Kopie zur Verfügung zu stellen, soweit der Antrag elektronisch gestellt wurde, reicht auch eine elektronische Auskunft.

Berichtigung, Löschung, Einschränkung der Verarbeitung

Der Betroffene hat jederzeit ein Recht darauf, dass seine personenbezogenen Daten richtig sind (Art. 16 DGSVO). Darüber hinaus hat der Betroffene ein Recht auf Löschung (Art. 17 DSGVO) seiner Daten, wenn

- die Speicherung nicht mehr notwendig ist;
- er seine Einwilligung widerrufen hat;
- die Daten unrechtmäßig verarbeitet wurden;
- ein gesetzliches Löschungsrecht besteht.

Flankierend gibt es die Einschränkung der Verarbeitung der Daten (Art. 18 DSGVO). Dann dürfen die Daten zwar noch gespeichert werden, aber außer in sehr engen Grenzen (z.B. Geltendmachung von Ansprüchen oder zur Verteidigung) nicht weiter verarbeitet werden.

Gemäß Art. 19 DSGVO muss der Unternehmer sicherstellen, dass alle Empfänger der Daten von einer Berichtigung, Löschung oder Einschränkung der Verarbeitung der personenbezogenen Daten des Betroffenen Kenntnis erlangen. Und auf Verlangen des Betroffenen muss der Unternehmer diese Empfänger dem Betroffenen gegenüber auch benennen.

Was bedeutet das Recht auf Datenübertragbarkeit?

Der Betroffene hat das Recht von dem Unternehmer zu fordern, dass dieser die von dem Betroffenen "gesammelten" personenbezogenen Daten an einen Dritten überträgt. Dies bezieht sich nur auf die Daten, welche der Unternehmer von dem Betroffenen zur Verfügung gestellt bekommen hat. Hierdurch soll dem Betroffenen der Anbieterwechsel z.B. im Rahmen von Sozialen Netzwerken erleichtert werden.

Was ist mit den Daten meiner eigenen Arbeitnehmer?

Hierzu enthält die Datenschutzgrundverordnung keine abschließende Regelung, sondern verweist insoweit lediglich auf die allgemein geltenden Grundsätze. Das neue BDSG hat diesbezüglich in § 26 Rgelungen zur Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses, welche in diesem Bereich der europäischen Regelung vor gehen.

Was muss nun ein Unternehmer tun?

Der Unternehmer (in der DSGVO als "Verantwortlicher" bezeichnet) muss geeignete technische und organisatorische Maßnahmen in seinem Unternehmen installieren, um sicherstellen zu können und auch den Nachweis bringen zu können, dass die Verarbeitung von personenbezogenen Daten entsprechend der Datenschutzgrundverordnung erfolgt.

Hierzu gehört:

  1. Datenschutz durch Technik (data protection by design)
  2. Datenschutz durch datenschutzfreundliche Voreinstellungen (data protection by default)
  3. Ein Verzeichnis von Verarbeitungstätigkeiten führen (Art. 30 DSGVO)

Verletzungen des Schutzes personenbezogener Daten sind unverzüglich, möglichst binnen 72h nachdem die Verletzung dem Unternehmen bekannt wurde, an die Aufsichtsbehörde zu melden. Darüber hinaus muss grundsätzlich auch der Betroffene von der Datenschutzverletzung benachrichtigt werden.

Was ist im Hinblick auf die Unternehmenswebsite zu beachten?

Die DSGVO verpflichtet Unternehmer den Betroffenen (also Nutzern der Website) alle Informationen die sich auf die Verarbeitung personenbezogener Daten beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Und wenn sich die Website gar auf Kinder bezieht, dann sollte es in einer kindgerechten Sprache erfolgen, wobei hier dann die sorgeberechtigte Person (zumeist die Eltern) der Verarbeitung der personenbezogenen Daten ihres Kindes zustimmen muss.

Das Problem wird nun sein, dass man für eine Information in einfacher Sprache deutlich mehr Text benötigen wird. Zugleich führt aber diese Fülle an mehr Text zu einer Unübersichtlichkeit bzw. abschreckenden länge der Texte. Hier wird man somit im Interesse der Betroffenen einen Mittelweg finden müssen. Jedes Website sollte hier deswegen prüfen, ob die bestehende Datenschutzerklärung auch für Laien verständlich formuliert ist.

Verstöße gegen die Informationspflichten oder gar falsche oder fehlende Informationen in der Datenschutzerklärung auf der Website können nicht nur mit Bußgeld von der Aufsichtsbehörde belegt werden, sondern sind besonders leicht für Mitbewerber und abmahnende Verbände festzustellen.

Was sind die Anforderungen an eine Einwilligung?

Ein Dreh- und Angelpunkt des Datenschutzrechts ist die Einwilligung des Betroffenen in die Erhebung und Verarbeitung seiner personenbezogenen Daten. Im Datenschutzrecht auch nach der DSGVO gilt, dass generell alles verboten ist, soweit es nicht ausdrücklich durch Gesetz oder Einwilligung des Betroffenen erlaubt wurde (Verbot mit Erlaubnisvorbehalt). Um Wirksam zu sein, muss die datenschutzrechtliche Einwilligung des Betroffenen folgende Voraussetzungen erfüllen:

  1. Die Einwilligung muss freiwillig erfolgt sein.
  2. Er muss vor der Einwilligung über den Zweck der Erhebung, Verarbeitung oder Nutzung informiert werden.
  3. Die Einwilligung muss nachweisbar gegeben werden.
  4. Die Einwilligung muss durch aktives Tun des Betroffenen erfolgen (Opt-In).
  5. Er muss vor der Einwilligung auf sein jederzeitiges Widerrufsrecht hingewiesen werden.

Was muss ich bei der Auftragsdatenverarbeitung beachten?

Auftragsdatenverarbeitung ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Auftragnehmer gemäß den Weisungen des Auftraggebers. Es muss eine vertragliche Regelung zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsdatenverarbeiter bestehen (die Schriftform ist hier nicht vorgeschrieben). Der Auftragsdatenverarbeiter darf nur auf Weisung des für die Verarbeitung Verantwortlichen die personenbezogenen Daten verarbeiten. Wenn er diesen Rahmen der Weisung verlässt, wird er selbst zum Verantwortlichen. Der Unternehmer darf nur mit Auftragsdatenverarbeitern arbeiten, die hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen durchgeführt werden, damit die Verarbeitung der Daten im Einklang mit der Datenschutzgrundverordnung erfolgt. Die Auftragsdatenverarbeitung darf aber auch außerhalb der EU stattfinden. Der Katalog der Regelungen, welche der Vertrag über die Auftragsdatenverarbeitung enthalten muss, ergibt sich aus Art. 28 III DSGVO. Dies sind:

  1. Gegenstand der Verarbeitung
  2. Dauer der Verarbeitung,
  3. Art und Zweck der Verarbeitung,
  4. Art der personenbezogenen Daten
  5. Kategorien betroffener Personen
  6. Pflichten und Rechte des Verantwortlichen (Weisungsbefugnis)
  7. Verpflichtung die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeitet
  8. Verpflichtung der zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit
  9. Regelungen zur Hinzuziehung von Subunternehmern
  10. die Verpflichtung den Verantwortlichen bei Anfragen und Ansprüchen Dritter sowie den Meldepflichten zu unterstützen
  11. die Verpflichtung nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder zu löschen oder zurückzugeben
  12. die Verpflichtung dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung und Überprüfung der datenschutzrechtlichen Pflichten zu ermöglichen
  13. die Verpflichtung den Verantwortlichen unverzüglich zu informieren, falls er der Auffassung ist, dass eine Weisung gegen das Datenschutzrecht verstößt

Der Unternehmer als Auftraggeber bleibt weiterhin der Verantwortliche der Datenverarbeitung und damit auch Ansprechpartner der Betroffenen. Auch ist der Auftraggeber in erster Linie für die Einhaltung des Datenschutzrechts verantwortlich. Aber gegenüber dem Betroffenen haftet der Auftragsdatenverarbeiter neben dem Auftraggeber auf Schadenersatz gegenüber Betroffenen, wenn diesen durch einen Verstoß gegen die DSGVO diesem ein Schaden entstanden ist. In Bezug auf den Auftragsdatenverarbeiter aber nur, wenn der Schaden auf Verstöße des Auftragverarbeiter gegen ihm auferlegte Pflichten herrührt. Bei Verstößen gegen die Regelungen zur Auftragsdatenverarbeitung können dem für die Verarbeitung Verantwortlichen und dem Auftragsdatenverarbeiter Geldbußen von bis zu 10.000.000 EUR oder 2% des gesamten welteit erziehlten Jahresumsatz festgelegt werden. Dies stellt die wesentliche Verschärfung zur bisherigen Rechtslage dar. Deswegen sollten alle bestehenden Verträge in Bezug auf die Auftragsdatenverarbeitung diesen Erfordernissen der neuen Rechtslage angepasst werden.

Sind Wartungen am System eine Auftragsdatenverarbeitung?

Hier scheinen sich aktuell die Gelehrten zu streiten. Um auf der rechtlich sicheren Seite zu sein, sollte man bis eine gerichtliche Klärung vorliegt, auch mit seinen Dienstleistern, welche zwar nicht personenbezogene Daten verarbeiten sollten, aber durch ihre Funktion und auch tatsächlich Zugriff auf personenbezogene Daten nehmen könnten, eine entsprechende Vereinbarung aufsetzten, welche den Erfordernissen an eine Auftragsdatenverarbeitung erfüllt. Denn dann kann man unabhängig von der zukünftigen Einordnung der Wartungsarbeiten etc. einer Bewertung durch die Aufsichtsbehörde entspannt entgegensehen.

Was ist eine Datenschutz-Folgenabschätzung

Immer wenn die Form der Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, muss eine Datenschutz-Folgenabschätzung vorgenommen werden. Dies sind entsprechend Art. 35 III DSGVO:

- systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
- umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten (rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit, die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten;
- systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche;

Die Folgenabschätzung enthält zumindest Folgendes:

  1. eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
  2. eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
  3. eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen;
  4. die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.

Wenn das Ergebnis der Datenschutz-Folgenabschätzung ist, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern keine Maßnahmen zur Eindämmung des Risikos getroffen werden, muss vor einem Beginn der Verarbeitung der personenbezogenen Daten die Aufsichtsbehöre konsultiert werden (Art. 36 I DSGVO).

Darf ein Unternehmer die Daten ins Ausland übermitteln oder dort verarbeiten lassen?

Wichtig ist, dass auch in dem Drittstaat sichergestellt ist, dass ein angemessenes Datenschutzniveau vorliegt. Dies kann durch verbindliche Unternehmensvorschriften (Binding Corporate Rules - BCR) oder die sog. EU-Standardverträge der EU-Kommission sichergestellt werden. Darüber hinaus dann, wenn eine der Ausnahmen des Art. 49 DSGVO vorliegt. Diese wären:

  1. die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde,
  2. die Übermittlung ist für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich,
  3. die Übermittlung ist zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags erforderlich,
  4. die Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses notwendig,
  5. die Übermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich,
  6. die Übermittlung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder anderer Personen erforderlich, sofern die betroffene Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben,
  7. die Übermittlung erfolgt aus einem Register, das gemäß dem Recht der Union oder der Mitgliedstaaten zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht, aber nur soweit die im Recht der Union oder der Mitgliedstaaten festgelegten Voraussetzungen für die Einsichtnahme im Einzelfall gegeben sind,

Sollte keiner dieser Gründe vorliegen, verbleibt immer noch die Möglichkeit eine nicht wiederholt erfolgende Übermittlung einer nur begrenzten Zahl von betroffenen Personen betreffende personenbezogene Daten in Drittländer zu übermitteln, wenn eine Interessenabwägung Abwägung stattgefunden hat und die Aufsichtsbehörde und auch die betroffene Person über die Übermittlung und die zwingenden berechtigten Interessen informiert wurden.

Unternehmensvertreter in der Union (sog. EU-Vertreter)

Das europäische Datenschutzrecht gilt nicht nur für Unternehmen innerhalb der EU, sondern es gilt für alle Unternehmen, die sich mit einem Angebot an einen bestimmten nationalen Markt innerhalb der EU richten, oder deren Datenverarbeitung der Beobachtung auch des Verhaltens von Personen innerhalb der EU dient. Eine Niederlassung innerhalb der EU ist also nicht erforderlich. Wenn nun ein Unternehmen keine Niederlassung in der EU hat, aber z.B. durch Tracking oder Profiling unter den Geltungsbereich der Datenschutzgrundverordnung fällt, dann muss das Unternehmen eine EU-Vertreter bestellen. Diese Regelung gilt für den eigentlichen Verantwortlichen als auch für den Auftragsdatenverarbeiter. Wenn nun z.B. ein Auftragsdatenverarbeiter aus einem Drittland den Auftrag zur Datenverarbeitung für ein Unternehmen aus der EU erhält, dann kann dies dazu führen, dass der Auftragsdatenverarbeiter einen EU-Vertreter bestellen muss. Diese Bestellung eines EU-Vertreters hat schriftlich zu erfolgen und der EU-Vertreter muss eine natürliche oder juristische Person sein, die in dem Staat der EU niedergelassen ist, in welchem auch die von der Datenverarbeitung betroffenen Personen sind.