Es wurde leider kein Ergebnis gefunden. Bitte versuchen Sie es erneut.

keine Ergebnisse
Affiliate-Marketing
Afterbuy
Amazon
Apotheken-Online-Shop
Apps (Datenschutzerklärung)
Argato
Avocadostore
Azoo
Booklooker
Branchbob
Brick Owl
BrickLink
Cardmarket
Cdiscount.com
Check24
Chrono24
Coaching
commerce:seo
Conrad
Consulting
CosmoShop
Decathlon
Delcampe
Dienstleistungen
Discogs
Dropshipping
Dropshipping-Marktplatz
eBay
ecwid
eGun
Einkaufsbedingungen (B2B)
ePages
Etsy
Etsy (digitale Inhalte)
Facebook
Facebook (Warenverkauf)
Fairmondo
Fernunterricht
For-vegans
Fotografie und Bildbearbeitung
Freizeitkurse
Galaxus
Galeria
Gambio
Gambio-Cloud
Gastro-Lieferservice (Restaurants)
German Market
Germanized for WooCommerce
GTC for Shopify
GTC-Kaufland.de
Handmade at Amazon
home24
Homepage
Hood
Hornbach
Hosting
Hosting B2B
Individuelle Kundenkommunikation (B2B)
Individuelle Kundenkommunikation (B2C)
Instagram
Instagram (Warenverkauf)
Jimdo
Joomla
JTL
Kasuwa
Kaufland
Kaufland - alle Marktplätze
Kaufland DE,CZ,SK
Kleinanzeigen.de
Kleinanzeigen.de (Vermietung)
Leroy Merlin
Lightspeed
LinkedIn
Lizenzo
Magento
Manomano
Mediamarkt
MeinOnlineLager
metro.de
modified eCommerce-Shops
Online-Shop
Online-Shop (digitale Inhalte)
Online-Shop - B2B
OnlyFans
OpenCart
Otto
Oxid-Shops
Palundu
Pinterest
plentymarkets
Praktiker
Prestashop
Printkataloge
Productswithlove
RAIDBOXES
Restposten
Restposten24
Ricardo.ch
Selbstbedienungsläden
Seminare
SHOMUGO
Shop - Online-Kurse (live oder on demand)
Shop - Verkauf von eigener Software
Shop - Verkauf von fremder Software
Shop - Vermietung von Waren
Shop Apotheke
Shopify
Shopware
Shpock
Shöpping
Smartvie
Snapchat
Spandooly
Squarespace
Stationärer Handel
STRATO
Teilehaber.de
Threads
TikTok
Tumblr
Twitch
TYPO3
Verkauf von Veranstaltungstickets
Vermietung Ferienwohnungen
Vermietung von Shops (inkl. Hosting)
VersaCommerce
VirtueMart
voelkner
webador
Webdesign
Webflow
Webshop Factory
Werky
WhatsApp Business
WhatsApp Business (Warenverkauf)
Wix
WooCommerce
WordPress
Wordpress (Warenverkauf)
wpShopGermany
X (ehemals Twitter)
Xanario
XING
xt:Commerce
XXXLutz
YouTube
zalando
Zen-Cart
ZVAB

EuGH: Fehlendes Verarbeitungsverzeichnis führt nicht automatisch zu einer unzulässigen Datenverarbeitung

16.02.2024, 10:48 Uhr | Lesezeit: 5 min
EuGH: Fehlendes Verarbeitungsverzeichnis führt nicht automatisch zu einer unzulässigen Datenverarbeitung

Ein wegweisendes Urteil des Europäischen Gerichtshofs (EuGH) vom 04.05.2023, C‑60/22, wirft Licht auf die rechtliche Bedeutung von Art. 26 und Art. 30 der Datenschutz-Grundverordnung (DSGVO). In seiner Entscheidung präzisiert der EuGH, dass ein fehlender Abschluss einer Vereinbarung zur Festlegung der gemeinsamen Verantwortung für die Datenverarbeitung sowie das Fehlen eines Verarbeitungsverzeichnisses nicht zwangsläufig zu einer unrechtmäßigen Verarbeitung personenbezogener Daten führen. Lesen Sie mehr zur Entscheidung des EuGH in unserem Beitrag.

1. Was war geschehen?

In dem dem Urteil zugrundeliegenden Sachverhalt ging es um die Frage, ob wenn ein Unternehmen, das kein ausreichendes Verarbeitungsverzeichnis erstellt hat oder keinen Vertrag über eine gemeinsame Verantwortlichkeit abgeschlossen hat, dies automatisch zu einer unzulässigen Verarbeitung der Daten führt und der Betroffene dadurch einen Anspruch auf Löschung dieser Daten hat.

Grundsätzlich ist nämlich jeder Verantwortliche, der personenbezogene Daten verarbeitet, nach der europäischen Datenschutzverordnung verpflichtet, die Datenvorgänge in einem ausführlichen Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren.

Die inhaltlichen Anforderungen an ein Verarbeitungsverzeichnis in Hinblick auf auf alle Verarbeitungstätigkeiten innerhalb des Unternehmens ergeben sich aus Art. 30 Abs. 1 S. 2 a) bis g) DSGVO.

Danach müssen alle automatisierten sowie nichtautomatisierten Verarbeitungen personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, aufgelistet werden. Vereinfacht gesagt muss Inder Regel jede Tätigkeit, die im Zusammenhang mit einer Datenverarbeitung steht, in einem Verarbeitungsverzeichnis dokumentiert werden.

1

2. Zweck, Form und Inhalt des Verarbeitungsverzeichnisses

Der Zweck ergibt sich aus dem Erwägungsgrund (ErwGr.) 82 zu Art. 30 DSGVO. Hiernach soll der Verantwortliche „zum Nachweis der Einhaltung dieser Verordnung“ ein Verzeichnis der Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, führen.

Das Verarbeitungsverzeichnis dient als wesentliche Grundlage für eine strukturierte Datenschutzdokumentation und hilft dem Verantwortlichen dabei, gemäß Art. 5 Abs. 2 Datenschutzgrundverordnung (DSGVO) nachzuweisen, dass die Vorgaben aus der DSGVO eingehalten werden (Rechenschaftspflicht). Das Verarbeitungsverzeichnis ist ein internes Dokument, das nur der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden muss. Es ist schriftlich zu führen.

Dies kann aber auch in einem elektronischen Format erfolgen. Die Aufsichtsbehörde kann das Format der Vorlage (schriftlich in Papierform oder elektronisch in Textform) eigenständig festlegen und daher auch bei einem im elektronischen Format geführten Verzeichnis den Ausdruck verlangen. Das Verarbeitungsverzeichnis muss auf dem jeweils aktuellen Stand sein. Es ist durch den sogenannten Verantwortlichen zu führen. Der Verantwortliche ist daher der zentrale Ansprechpartner der Aufsichtsbehörden.

Im Wesentlichen sollte ein solches Verzeichnis folgende Inhalte aufweisen:

  • Die Verantwortlichen der Datenverarbeitung und deren Kontaktdaten bzw. die Kontaktdaten des Datenschutzbeauftragten
  • Angaben über den Zweck der Verarbeitung wie z.B. Personalakte, Urlaubsplanung oder Vertragsabwicklung
  • Beschreibung der Kategorie des Betroffenen und der personenbezogenen Daten (z.B. Angestellter oder Kunde)
  • Angabe der Empfängerkategorie gegenüber denen eine Offenlegung der Daten erfolgt wie z.B. Versandunternehmen, Ämter oder Banken
  • Wenn zutreffend, Angaben zur Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation einschließlich der Angabe des betreffenden Drittlands bzw. der betreffenden internationalen Organisation
  • Angaben über die vorgesehenen Löschfristen der unterschiedlichen Datenkategorien.
  • Soweit möglich eine allgemeine Beschreibung der technisch-organisatorischen Maßnahmen und Sicherheitsvorkehrungen wie beispielsweise die Pseudonymisierung oder Verschlüsselung der Daten
  • Änderungshistorie (wenn sich z.B. die Person des Verantwortlichen oder Datenschutzbeauftragten) ändert

Wie detailliert diese Dokumentation erfolgen muss, ist gesetzlich nicht geregelt und einzelfallabhängig.

Schon gewusst? Die IT-Recht Kanzlei bietet die Erstellung eines elektronisch konfigurierbaren Verarbeitungsverzeichnisses gemäß DSGVO an!

Das von der IT-Recht Kanzlei bereitgestellte Verarbeitungsverzeichnis ist auf die Anforderungen eines kleineren oder mittelgroßen Online-Handels-Betriebes zugeschnitten und berücksichtigt derzeit unter anderem folgende für den Online-Handel besonders relevante Verarbeitungstätigkeiten - weitere Informationen erhalten Sie gerne hier.

Die Entscheidung des EuGH

In seinem Urteil vom 04.05.2023 (Az.: C-60/22) hat der EuGH nun entscheiden, dass das Fehlen eines Verarbeitunsgverzeichnisses bzw. das Fehlen eines Vertrags über die gemeinsame Verantwortlichkeit nicht automatisch zu einer unzulässigen Datenverarbeitung führt und folglich auch keinen Löschungsanspruch des Betroffenen begründet.

Im Urteil führte er aus, Art. 17 Abs. 1 d) und Art. 18 Abs. 1 b) der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sei dahin auszulegen, dass der Verstoß eines Verantwortlichen gegen die Pflichten aus den Art. 26 und 30 dieser Verordnung über den Abschluss einer Vereinbarung zur Festlegung der gemeinsamen Verantwortung für die Verarbeitung bzw. das Führen eines Verzeichnisses von Verarbeitungstätigkeiten keine unrechtmäßige Verarbeitung darstelle, die der betroffenen Person ein Recht auf Löschung oder auf Einschränkung der Verarbeitung verleihe.

Dieser Verstoß als solcher bedeute nicht, dass der Verantwortliche gegen den Grundsatz des Art. 5 Abs. 1a) und Art. 6 Abs. 1 Unterabs. 1 dieser Verordnung verstoße.

Des Weiteren sei das Unionsrecht dahin auszulegen, dass die Einwilligung der betroffenen Person keine Voraussetzung dafür darstelle, dass die Berücksichtigung dieser Daten durch ein nationales Gericht rechtmäßig sei, wenn ein für die Verarbeitung personenbezogener Daten Verantwortlicher gegen seine Pflichten aus den Art. 26 oder Art. 30 der Verordnung 2016/679 verstoße.

Fazit

Grundsätzlich ist im Umgang mit Daten und im Rahmen der Verarbeitung personenbezogener Daten Vorsicht geboten. Um etwaige Inanspruchnahmen der Betroffenen zu vermeiden, sollte man stets die gesetzlichen Anforderungen an den Datenschutz und die Datenverarbeitung einhalten.

Dabei ist ein ausführliches Verarbeitungsverzeichnis in der Regel von großer Bedeutung und sollte von den Unternehmen stets als Pflicht wahrgenommen werden. Es ist zudem sehr sinnvoll, um einen Überblick über die Prozesse innerhalb des eigenen Unternehmens zu behalten.

Das Fehlen eines Verarbeitungsverzeichnis oder eines Vertrags über die gemeinsame Verantwortlichkeit allein führt jedoch nicht automatisch zur Unzulässigkeit der verarbeiteten Daten. Der betroffenen Person steht in einem solchen Fall kein Anspruch auf Löschung bzw. Einschränkung dieser Daten zu.

Mithilfe eines elektronischen Textkonfigurators, den wir über unser Mandantenportal bereitstellen, können Mandnanten der IT-Recht Kanzlei ein datenschutzrechtliches Verarbeitungsverzeichnis erstellen.

Sie interessieren sich für die Schutzpakete der IT-Recht Kanzlei? Sichern Sie sich Ihr Schutzpaket und agieren Sie rechtssicher im Online-Hanldel!

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.


Link kopieren

Als PDF exportieren

Drucken

|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

0 Kommentare

weitere News

Checkliste der IT-Recht Kanzlei: Vorgehensweise bei Datenpannen im eigenen Online-Shop + Muster
(16.04.2024, 14:24 Uhr)
Checkliste der IT-Recht Kanzlei: Vorgehensweise bei Datenpannen im eigenen Online-Shop + Muster
DSGVO-konform: Handlungsanleitung zur Erstellung eines abmahnsicheren Kontaktformulars
(16.04.2024, 14:16 Uhr)
DSGVO-konform: Handlungsanleitung zur Erstellung eines abmahnsicheren Kontaktformulars
OVG Niedersachsen: Pauschale Abfrage des Geburtsdatums in Online-Shops unzulässig
(28.03.2024, 12:24 Uhr)
OVG Niedersachsen: Pauschale Abfrage des Geburtsdatums in Online-Shops unzulässig
FAQ: Schadensersatzpflicht von Händlern bei Datenschutzverstößen
(15.03.2024, 08:17 Uhr)
FAQ: Schadensersatzpflicht von Händlern bei Datenschutzverstößen
Auch weiterhin gilt: Die Weitergabe von E-Mail-Adressen an Paketdienstleister zu Paketankündigungszwecken bedarf einer Einwilligung
(05.01.2024, 13:23 Uhr)
Auch weiterhin gilt: Die Weitergabe von E-Mail-Adressen an Paketdienstleister zu Paketankündigungszwecken bedarf einer Einwilligung
EuGH: Keine Spürbarkeitsschwelle für immateriellen Schadensersatz nach DSGVO
(02.01.2024, 09:42 Uhr)
EuGH: Keine Spürbarkeitsschwelle für immateriellen Schadensersatz nach DSGVO
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder
speichern

Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.
Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.
Ihre IT-Recht Kanzlei
Vielen Dank!
© 2004-2024 · IT-Recht Kanzlei