DSGVO - BDSG - TTDSG. Группа авторов

DSGVO - BDSG - TTDSG - Группа авторов


Скачать книгу
id="ulink_1bfffb27-d329-58c8-8ab0-c10f81069552">Bei Verstößen gegen die Grundsätze der Verarbeitung personenbezogener Daten, zu denen Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO sowie Art. 7 DSGVO zählen, kann nach Art. 83 Abs. 5 lit. a DSGVO ein Bußgeld verhängt werden. Ein Verstoß liegt damit nicht nur vor, wenn weder eine gesetzliche Erlaubnis noch eine Einwilligung vorliegen, sondern auch, wenn eine Einwilligung nicht entsprechend Art. 7 Abs. 1 DSGVO nachgewiesen werden kann, die Transparenz bei Einholung der Einwilligung im Zusammenhang mit Erklärungen zu anderen Sachverhalten entsprechend Art. 7 Abs. 2 DSGVO nicht hergestellt wird, die Information über das Widerrufsrecht entsprechend Art. 7 Abs. 3 DSGVO nicht oder nicht in der erforderlichen Weise erfolgt oder das Kopplungsverbot entsprechend Art. 7 Abs. 4 DSGVO missachtet wird. In jedem Fall läge ein Verstoß gegen die Grundsätze für die Verarbeitung aus Art. 5ff. DSGVO vor, der nach Art. 83 Abs. 5 lit. a DSGVO sanktioniert werden kann. Die Geldbuße kann je nach Umständen des Einzelfalls (Art. 83 Abs. 2 DSGVO) 20 Mio. EUR oder 2 % des gesamten weltweiten Jahresumsatzes des Unternehmens betragen.174

      150

      151

      152

      Die Aufsichtsbehörde kann auch nach Art. 58 DSGVO die darin genannten Untersuchungs-, Abhilfe- und Beratungsbefugnisse in Anspruch nehmen, um den Verantwortlichen zu einer rechtskonformen Berücksichtigung der Anforderung an Einwilligungen zu bewegen.

      153

      Um die Rechtsfolgen zu vermeiden, sollten Verantwortliche nicht nur bei der künftigen Einholung von Einwilligungen die Anforderungen der DSGVO beachten, sondern auch die vor dem 25.5.2018 eingeholten Einwilligungen daraufhin zu prüfen, ob diese Einwilligungen den Anforderungen des Art. 7 i.V.m. Art. 4 Nr. 11 DSGVO genügen. Ist das nicht der Fall, müssen ggf. die Einwilligungen neu eingeholt werden. Zwar gewährt ErwG 171 Satz 2 eine Übergangsfrist, wenn die Verarbeitungen auf einer Einwilligung gemäß der DSRl beruhen. Es heißt darin, dass es nicht erforderlich sei, dass die betroffene Person erneut ihre Einwilligung dazu erteilt, wenn die Art der bereits erteilten Einwilligung den Bedingungen dieser Verordnung entspricht. Umstritten ist, was unter der „Art der bereits erteilten Einwilligung“ zu verstehen ist. Es ist davon auszugehen, dass die in Art. 7 Abs. 1–4 DSGVO enthaltenen Grundsätze auch nach altem Recht zu beachten waren und auch die Anforderungen an eine Einwilligung, wie sie sich aus der Definition in Art. 4 Nr. 11 DSGVO ergeben, beachtet worden sein müssen. Weil diese Grundsätze regelmäßig die Anforderungen normieren, die auch nach altem Recht in Auslegung des § 4a BDSG a.F. zu beachten waren, darf davon ausgegangen werden, dass nach altem Recht wirksame Einwilligungen in der Regel nicht neu eingeholt zu werden brauchen. Davon geht auch der Düsseldorfer Kreis in seinem Beschluss vom 13./14.9.2016 aus.177

      1 Geiger, NVwZ 1989, 35, 37; Klement, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 7 Rn. 19; Kollmar/El-Auwad, in: Taeger, Den Wandel begleiten, S. 199. Siehe auch Ingold, in: Sydow, EU-Datenschutzgrundverordnung, Art. 7 Rn. 10: Bei der wirksamen datenschutzrechtlichen Einwilligung handelt es sich „um eine Realisierung informationeller Autonomie als primärrechtlich garantierter Grundrechtsausübung“. 2 BVerfG, Urt. v. 15.12.1983 – 1 BvR 209/83, BVerfGE 65, 1. Klement, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 7 Rn. 20, identifiziert in Art. 8 Abs. 2 Satz 1 GrCh ein „Grundrecht auf Einwilligung“. 3 Grimm, Der Datenschutz vor einer Neuorientierung, JZ 2013, 585, 587. Siehe auch Taeger, Datenschutzrecht, Kap. II Rn. 10. 4 Buchner, Informationelle Selbstbestimmung im Privatrecht, S. 231ff. 5 Zu den hohen Anforderungen an die Wirksamkeit einer Werbezwecken dienenden E-Mail an ein Unternehmen, worin ein unzumutbarer Eingriff in das Recht am eingerichteten und ausgeübten Gewerbebetrieb gesehen wird, BGH, Urt. v. 14.3.2017 – VI ZR 721/15, K&R 2017, 403, m. Anm. Ring, EWiR 2017, 479; siehe dazu die zustimmende Anm. von Vander, DB 2017, 1251. Kritisch aber Laoutoumai/Schuh, K&R 2017, 408, und Möller, NJW 2017, 2122. 6 Darauf weist die Art.-29-Datenschutzgruppe in ihren Guidelines on Consent under Regulation 2016/679 (wp259rev.01), S. 3, vom 28.11.2017 i.d.F. vom 10.4.2018, ausdrücklich hin, http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051. 7 Siehe EuGH, Urt. v. 11.11.2020 – C-61/19, K&R 2021, 38 – Orange România/ANSPDCP m. Anm. Hötzel, DSB 2020, 316. 8 Vgl. dazu Thüsing/Schmidt/Forst, RDV 2017, 116, 121. 9 Siehe auch Buchner/Kühling, DuD 2017, 544, 545 (‚zentraler Erlaubnistatbestand‘); Ernst, ZD 2017, 110 (‚zentrale Legitimation‘); Krohm/Müller-Peltzer, ZD 2017, 551 („zentrales Element zur Rechtfertigung“); K. Schaar, ZD 2017, 213 („ist und bleibt eine zentrale Legitimation“); Katko/Babaei-Beigi, MMR 2014, 360, 362 (‚traditionelle Rechtfertigung‘); Gierschmann, in: Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art. 7 Rn. 2 (‚zentrale Bedeutung‘); Fladung/Pötters, in: Wybitul, DSGVO, Art. 7 Rn. 2 (‚seit jeher ein wichtiger Rechtfertigungsgrund‘). 10 Klement, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 7 Rn. 6. 11 Stemmer, in: Wolff/Brink, BeckOK DatenschutzR, Art. 7 Rn. 76. 12 Siehe dazu Moos, in: Taeger/Gabel, BDSG, 2. Aufl. 2013, § 13 TMG Rn. 27f. 13 Moos, in: Taeger/Gabel, BDSG, 2. Aufl. 2013, § 12 TMG Rn. 3. 14 Gesetz v. 23.6.2021 über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG), BGBl. I, S. 1982. Siehe dazu die Kommentierung des TTDSG. 15


Скачать книгу