Unternehmensverkauf und Datenschutz

B AYERISCHES L ANDESAMT FÜR
D ATENSCHUTZ A UFSICHT
Unternehmensverkauf und Datenschutz
Datenschutzkonformes Handling,
Prüfpflichten und Verantwortlichkeiten
Wirtschaft digital
Das IHK Themenforum
Bei Unternehmenskauf und -verkauf im Fokus:
IT, Datenschutz und Bewertung
Mittwoch 14. Oktober 2015
IHK Akademie München
Alexander Filip und Thomas Kranig, Bayerisches Landesamt für Datenschutzaufsicht
B AYERISCHES L ANDESAMT FÜR
D ATENSCHUTZ A UFSICHT
Agenda
1
Klärung der Begriffe: Share Deal, Asset Deal
2
Datenschutzrechtliche Anforderungen beim Asset Deal
3
Verantwortlichkeiten und Prüfpflichten
4
Was sagt die Rechtsprechung?
5
Wenn´s daneben geht: Bußgeldverfahren
6
… und in Zukunft nach DS-GVO
2
B AYERISCHES L ANDESAMT FÜR
D ATENSCHUTZ A UFSICHT
Agenda
1
Klärung der Begriffe: Share Deal, Asset Deal
2
Datenschutzrechtliche Anforderungen beim Asset Deal
3
Verantwortlichkeiten und Prüfpflichten
4
Was sagt die Rechtsprechung?
5
Wenn´s daneben geht: Bußgeldverfahren
6
… und in Zukunft nach DS-GVO
3
1
Klärung der Begriffe:
Share Deal, Asset Deal
B AYERISCHES L ANDESAMT FÜR
D ATENSCHUTZ A UFSICHT
• Share Deal = Erwerb einer gesellschaftsrechtlichen
Beteiligung an einem Unternehmen (z.B. Aktien
einer AG, Anteile einer GmbH)
– Rechtsträger des Unternehmens (z.B. GmbH) bleibt unverändert, es
ändert sich nur die Struktur der Anteilseigner
– personenbezogene Daten (z.B. von Kunden) verbleiben bei derselben
„verantwortlichen Stelle“ (z.B. der GmbH), daher keine „Übermittlung“
– somit datenschutzrechtlich grundsätzlich unproblematisch
4
1
Klärung der Begriffe:
Share Deal, Asset Deal
B AYERISCHES L ANDESAMT FÜR
D ATENSCHUTZ A UFSICHT
• Asset Deal = Veräußerung einzelner Wirtschaftsgüter
(Assets), z.B. Maschinen, Gebäude, …
– Erwerber ist ein gegenüber dem Veräußerer neuer Rechtsträger (z.B. ABC
GmbH veräußert „Assets“ an die XYZ GmbH)
– werden personenbezogene Daten als Asset übertragen, so gelangen sie zu
einer neuen „verantwortlichen Stelle“
– somit „Übermittlung“ im Sinne von § 3 Abs. 4 Satz 2 Nr. 3 BDSG
– Häufiger Fall: Veräußerung durch den Insolvenzverwalter
5
1
Klärung der Begriffe:
Share Deal, Asset Deal
B AYERISCHES L ANDESAMT FÜR
D ATENSCHUTZ A UFSICHT
• Umwandlungen gemäß Umwandlungsgesetz /
UmwG (Verschmelzungen; Spaltungen)
– UmwG ordnet Gesamtrechtsnachfolge an
– daher keine „Übermittlung“ personenbezogener Daten
• andere Ansicht: zwar Übermittlung, diese ist aber gerechtfertigt, da UmwG
gegenüber BDSG vorrangig (§ 1 Abs. 3 Satz 1 BSDG)
– „Datenfluss“ an die neue Gesellschaft im Ergebnis nach beiden
Ansichten unproblematisch zulässig
6
B AYERISCHES L ANDESAMT FÜR
D ATENSCHUTZ A UFSICHT
Agenda
1
Klärung der Begriffe: Share Deal, Asset Deal
2
Datenschutzrechtliche Anforderungen beim Asset Deal
3
Verantwortlichkeiten und Prüfpflichten
4
Was sagt die Rechtsprechung?
5
Wenn´s daneben geht: Bußgeldverfahren
6
… und in Zukunft nach DS-GVO
7
2
Datenschutzrechtliche
Anforderungen beim Asset Deal
B AYERISCHES L ANDESAMT FÜR
D ATENSCHUTZ A UFSICHT
• „Übermittlung“ liegt vor, sobald Kundendaten
– an den Erwerber weitergegeben oder
– vom Erwerber abgerufen oder eingesehen werden
• Übermittlung personenbezogener Daten nur zulässig, wenn
– Betroffener vorher eingewilligt hat oder
– Übermittlung aufgrund einer Rechtsvorschrift zulässig ist (§ 4 Abs. 1 BDSG sog. Verbot mit Erlaubnisvorbehalt)
8
2
Datenschutzrechtliche
Anforderungen beim Asset Deal
B AYERISCHES L ANDESAMT FÜR
D ATENSCHUTZ A UFSICHT
• bei Asset Deals ist häufig die Übermittlung der
„Kundendatenbank“ gewollt
– typischerweise Stammdaten / Kontaktdaten (Name, postalische
Adresse, ggf. E-Mail-Adresse, Telefonnummer, …)
– u.U. weitergehende Daten, z.B. Konto-/Kreditkartendaten ,
„Bestellhistorie“, Interessenprofil, besondere Wünsche (z.B. bei
„Stammkunden“), Historie der im Rahmen der Kundenbetreuung
stattgefundenen Kontakte, …
9
2
Datenschutzrechtliche
Anforderungen beim Asset Deal
B AYERISCHES L ANDESAMT FÜR
D ATENSCHUTZ A UFSICHT
• Einwilligung der Kunden liegt meist nicht vor
• Übermittlung aufgrund einer Rechtsvorschrift zulässig?
10
2
Datenschutzrechtliche
Anforderungen beim Asset Deal
B AYERISCHES L ANDESAMT FÜR
D ATENSCHUTZ A UFSICHT
• § 28 Abs. 3 Satz 2 BDSG: sog. Listendaten dürfen zu
Werbezwecken auch ohne Einwilligung übermittelt
werden
• sog. Listendaten: Name, postalische Adresse, Geburtsjahr
• nicht: Geburtsdatum, Telefonnummer, E-Mail-Adresse, Konto/Kreditkartendaten, „Bestellhistorie“, …
• Was ist mit den Nicht-Listendaten?
11
2
Datenschutzrechtliche
Anforderungen beim Asset Deal
B AYERISCHES L ANDESAMT FÜR
D ATENSCHUTZ A UFSICHT
• Übermittlung auf Grundlage einer Rechtsvorschrift?
– Veräußerer hat Interesse, Kundendaten zu verkaufen
• so z.B. im Insolvenzfall
• Allerdings keineswegs auf Insolvenzfälle beschränkt
– Erwerber hat oft Interesse, die Bestandskunden des Veräußerers selbst werblich
anzusprechen
– aber: Gesetz erlaubt Übermittlung zu werblichen Zwecken (sofern keine Einwilligung
der Betroffenen vorliegt) nur für sog. Listendaten (s.o.)
– sofern Übermittlungszweck die Werbung ist, dürfen Nicht-Listendaten somit nicht
übermittelt werden
12
2
Datenschutzrechtliche
Anforderungen beim Asset Deal
B AYERISCHES L ANDESAMT FÜR
D ATENSCHUTZ A UFSICHT
• „Lösung“ nur möglich, wenn die Daten außer für werbliche Zwecke
noch in Wahrnehmung anderer „berechtigter Interessen“ der
beteiligten Unternehmen übermittelt werden
• Frage des Einzelfalls; Gesamtbetrachtung der Transaktion nötig
• hierbei: Fortführung des Unternehmens oder eines Unternehmensteils
als (gegenüber der Werbung) eigenständiges Interesse denkbar
13
2
Datenschutzrechtliche
Anforderungen beim Asset Deal
B AYERISCHES L ANDESAMT FÜR
D ATENSCHUTZ A UFSICHT
Fortführung des Unternehmens
• setzt meist voraus, dass das gesamte „Unternehmen“ oder
zumindest ein Geschäftsbereich veräußert wird
– nur dann kann man in der Regel von Unternehmens(teil)veräußerung sprechen
– setzt wohl in der Regel die Veräußerung mehrerer signifikanter Vermögensgegenstände (Assets) voraus
– Veräußerung einzig der Kundendatenbank genügt jedenfalls nicht, da dabei meist Werbezweck im Vordergrund
stehen wird (dazu s.o.)
• Frage des Einzelfalls: Maßgeblich ist, ob man bei einer
Gesamtbetrachtung von einer Fortführung des Unternehmens oder
zumindest eines signifikanten Geschäftsbereichs sprechen kann
14
2
Datenschutzrechtliche
Anforderungen beim Asset Deal
B AYERISCHES L ANDESAMT FÜR
D ATENSCHUTZ A UFSICHT
• Bei „Unternehmens(teil)fortführung“ kann Übermittlung u.U. mit
berechtigten Interessen von Veräußerer und Erwerber legitimiert
werden
– allerdings nur, soweit schutzwürdige Interessen der Betroffenen (Kunden)
dem nicht entgegenstehen bzw. nicht überwiegen (§ 28 Abs. 2 Nr. 1 bzw. Nr.
2 a BDSG)
– Wann das der Fall ist, sagt das Gesetz leider nicht.
– Fraglich bezgl. Kontoverbindungsdaten
– Unzulässig jedenfalls bei besonderen Arten personenbezogener Daten, z.B.
Gesundheitsdaten!
15
2
Datenschutzrechtliche
Anforderungen beim Asset Deal
B AYERISCHES L ANDESAMT FÜR
D ATENSCHUTZ A UFSICHT
• Auffassung des BayLDA: sog. Widerspruchslösung:
Übermittlung (nur) zulässig, wenn
– die Betroffenen vorher über die geplante Übermittlung ihrer Daten
informiert wurden,
– ihnen dabei ein ausreichend lang bemessenes Widerspruchsrecht
(Regel: ca. 3 Wochen, jedoch Frage des Einzelfalls) eingeräumt wurde
– und sie nicht widersprochen haben.
16
2
Datenschutzrechtliche
Anforderungen beim Asset Deal
B AYERISCHES L ANDESAMT FÜR
D ATENSCHUTZ A UFSICHT
Kriterien der Widerspruchslösung
• korrekte Reihenfolge: erst Information mit Einräumung des
Widerspruchsrechts; Übermittlung erst nach Ablauf der
Widerspruchsfrist
• Potentieller Erwerber darf im Zeitpunkt der Information noch
keine Verfügungsgewalt über die Daten haben.
• Nachträgliche Information der Kunden genügt nicht.
17
2
Datenschutzrechtliche
Anforderungen beim Asset Deal
B AYERISCHES L ANDESAMT FÜR
D ATENSCHUTZ A UFSICHT
Sonderproblem E-Mail- u. Telefonwerbung
Sonderproblem: Erwerber möchte die E-Mail-Adressen und/oder Telefonnummern für eigene
Werbezwecke nutzen
• Im Ergebnis - selbst bei Befolgung der „Widerspruchslösung“ nicht möglich (!)
• Grund: § 7 Abs. 2 und Abs. 3 UWG: E-Mail-Werbung nur mit
ausdrücklicher Einwilligung des Adressaten zulässig
• Selbst eine vom Kunden dem Veräußerer erteilte Einwilligung zur
E-Mail-Werbung hilft nicht, denn sie geht nicht auf den Erwerber
über.
18
2
Datenschutzrechtliche
Anforderungen beim Asset Deal
B AYERISCHES L ANDESAMT FÜR
D ATENSCHUTZ A UFSICHT
Sonderproblem E-Mail- u. Telefonwerbung
• Erworbene E-Mail-Adressen u. Telefonnummern sind damit
hinsichtlich Werbung „totes Material“.
• Anders bei Kunden, die zwischenzeitlich einen Vertrag mit
dem Erwerber eingegangen sind: Gegenüber solchen
Eigenkunden darf der Erwerber unter den Voraussetzungen
des § 7 Abs. 3 UWG E-Mail-Werbung betreiben.
19
2
Datenschutzrechtliche
Anforderungen beim Asset Deal
B AYERISCHES L ANDESAMT FÜR
D ATENSCHUTZ A UFSICHT
Sonderfall bestehende Vertragsverhältnisse
Bestehende Vertragsverhältnisse (z.B. Darlehen, Miete,
Abonnements) können nur mit Zustimmung aller
Vertragsparteien „im Ganzen“ auf den Erwerber übertragen
werden.
• Zustimmung des Kunden somit schon aus zivilrechtlichen Gründen
nötig
• datenschutzrechtliche Problematik ist demgegenüber nur sekundär
20
2
Datenschutzrechtliche
Anforderungen beim Asset Deal
B AYERISCHES L ANDESAMT FÜR
D ATENSCHUTZ A UFSICHT
Sonderfall Forderungsabtretung
Forderungen können zivilrechtlich auch ohne Zustimmung des
Schuldners abgetreten werden
• Dürfen Daten des Schuldners an den Zessionar (Forderungserwerber)
übermittelt werden?
• in der Regel ja (§ 398 i.V.m. § 402 BGB)
• u.U. aber nein, wenn Daten einem Berufsgeheimnis (§ 203 StGB)
unterfallen (z.B. Arzt, Rechtsanwalt)
– hier differenzierte Rechtsprechung, auch mit Unterschieden zwischen den einzelnen
Berufsgruppen
21
B AYERISCHES L ANDESAMT FÜR
D ATENSCHUTZ A UFSICHT
Agenda
1
Klärung der Begriffe: Share Deal, Asset Deal
2
Datenschutzrechtliche Anforderungen beim Asset Deal
3
Verantwortlichkeiten und Prüfpflichten
4
Was sagt die Rechtsprechung?
5
Wenn´s daneben geht: Bußgeldverfahren
6
… und in Zukunft nach DS-GVO
22
3
Verantwortlichkeiten und
Prüfpflichten
B AYERISCHES L ANDESAMT FÜR
D ATENSCHUTZ A UFSICHT
Verantwortlichkeit
• Datenschutzrechtlich verantwortlich sind grundsätzlich
sowohl Veräußerer als auch Erwerber (Es geht um
„übermitteln“ und „erheben“).
23
B AYERISCHES L ANDESAMT FÜR
D ATENSCHUTZ A UFSICHT
Agenda
1
Klärung der Begriffe: Share Deal, Asset Deal
2
Datenschutzrechtliche Anforderungen beim Asset Deal
3
Verantwortlichkeiten und Prüfpflichten
4
Was sagt die Rechtsprechung?
5
Wenn´s daneben geht: Bußgeldverfahren
6
… und in Zukunft nach DS-GVO
24
4
Was sagt die Rechtsprechung?
B AYERISCHES L ANDESAMT FÜR
D ATENSCHUTZ A UFSICHT
• BAG, Urt. v. 20.05.2010, Az 8 AZR 872/08
(Asset Deal von BenQ)
Nur eine ordnungsgemäße Unterrichtung setzt die
Widerspruchsfrist nach § 613a Abs. 6 in Gang
• LAG München, Urt. v. 10.02.2010, Az 6 Sa 872/07
Ein Unterrichtungsschreiben ist fehlerhaft und unvollständig
iSv § 613a Abs. 5 BGB beim Fehlen der Angabe der Anschrift
des Betriebserwerbers, der Angabe für den Grund des
Übergangs und der näheren Ausgestaltung des zugrunde
liegenden Rechtsgeschäfts
25
4
Was sagt die Rechtsprechung?
B AYERISCHES L ANDESAMT FÜR
D ATENSCHUTZ A UFSICHT
• LG Düsseldorf, Urt. v. 06.02.2012, Az 5 O 288/06 u.a.
Der Käufer einer Steuerberaterpraxis kann von dem Kaufvertrag
zurücktreten, wenn der verkauften Praxis zum Zeitpunkt der
Übergabe eine vereinbarte Beschaffenheit i.S.v. § 434 BGB in
Form der vereinbarten Ertragsfähigkeit (nachhaltiges jährliches
Nettohonorar), bezogen auf den Fortbestand und den
Umsatzwert der laufenden Mandate, fehlte.
• OLG Köln, Urt. v. 14.08.2009, Az I-6 70/09
Der Antragsgegnerin wird untersagt, im geschäftlichen
Verkehr zum Zwecke des Wettbewerbs ehemalige eigene
Kunden zum Zwecke der Werbung anzuschreiben, wenn sie
hierbei die Information nutzt, dass diese zur Antragstellerin
gewechselt sind, eine Einwilligung der Verbraucher in die
Nutzung dieser Information nicht vorliegt .
26
B AYERISCHES L ANDESAMT FÜR
D ATENSCHUTZ A UFSICHT
Agenda
1
Klärung der Begriffe: Share Deal, Asset Deal
2
Datenschutzrechtliche Anforderungen beim Asset Deal
3
Verantwortlichkeiten und Prüfpflichten
4
Was sagt die Rechtsprechung?
5
Wenn´s daneben geht: Bußgeldverfahren
6
… und in Zukunft nach DS-GVO
27
Wenn´s daneben geht:
Bußgeldverfahren
5
B AYERISCHES L ANDESAMT FÜR
D ATENSCHUTZ A UFSICHT
Doppelfunktion
des BayLDA
BayLDA als
Aufsichtsbehörde
BayLDA als
Bußgeldbehörde
Präsident
•
Leitung
•
Grundsatzfragen
•
Öffentlichkeitsarbeit
Geschäftsstelle
Referat 1
Referat 2
Referat 3
Referat 4
Referat 5
•
Beschäftigtendatenschutz
•
Banken
•
Versicherungen
•
Internet
•
Industrie
•
Auskunfteien
•
Telemedien
•
Handel
Videoüberwachung
•
Werbung
Gesundheitswesen
•
•
•
Geodatendienste
•
Bußgeldverfahren
Freiberufliche
Tätigkeiten
•
Apps
•
Internationaler
Datenverkehr
Soziale
Einrichtungen
•
Vereine
•
Vermietung und
Wohneigentum
•
Auftragsdatenverarbeitung
•
•
Kundenbindung
•
•
Datenschutzorganisation
Referat 6
•
Technischer
Datenschutz
•
IT-Sicherheit
28
5
Wenn´s daneben geht:
Bußgeldverfahren
B AYERISCHES L ANDESAMT FÜR
D ATENSCHUTZ A UFSICHT
Folgen bei Verstößen
• unzulässige Übermittlung -> Speicherung beim Erwerber
ebenfalls unzulässig
– Erwerber muss die Kundendaten löschen (Ausnahme: Listendaten, s.o.)
– Datenschutzaufsichtsbehörde kann dies per Anordnung durchsetzen.
• zudem (häufig) Ordnungswidrigkeit
– Geldbuße bis zu 300.000,- € möglich
29
5
Wenn´s daneben geht:
Bußgeldverfahren
B AYERISCHES L ANDESAMT FÜR
D ATENSCHUTZ A UFSICHT
Mögliche Adressaten für Bußgeld
• Geldbuße ist grundsätzlich gegen beide beteiligten
Unternehmen denkbar .
• Geldbußen auch denkbar gegen die Personen, die die
entsprechende unternehmerische Entscheidung
getroffen haben.
30
5
Wenn´s daneben geht:
Bußgeldverfahren
B AYERISCHES L ANDESAMT FÜR
D ATENSCHUTZ A UFSICHT
31
B AYERISCHES L ANDESAMT FÜR
D ATENSCHUTZ A UFSICHT
Agenda
1
Klärung der Begriffe: Share Deal, Asset Deal
2
Datenschutzrechtliche Anforderungen beim Asset Deal
3
Verantwortlichkeiten und Prüfpflichten
4
Was sagt die Rechtsprechung?
5
Wenn´s daneben geht: Bußgeldverfahren
6
… und in Zukunft nach DS-GVO
32
6
B AYERISCHES L ANDESAMT FÜR
D ATENSCHUTZ A UFSICHT
… und in Zukunft nach DS-GVO
Vorschlag
EU-Kommission
EU-Parlament
Standpunkt: 12.03.2014
Vorschlag: 25.01.2012
EU-Rat
Standpunkt: 16.06.2015
Gemeinsamer Gesetzgeber: Parlament und Rat
Trilog läuft seit 24. Juni 2016
Für BayLDA mit europaweiter Zuständigkeit für relevante
bayerische Unternehmen wird´s sicherlich nicht leichter/weniger
33
6
… und in Zukunft nach DS-GVO
B AYERISCHES L ANDESAMT FÜR
D ATENSCHUTZ A UFSICHT
Informationsmöglichkeit
über Diskussionsstand zur
DS-GVO
unter
www.lda.bayern.de
34
6
… und in Zukunft nach DS-GVO
http://www.eppgroup.eu/de/news/Data-protection-reform-timetable
B AYERISCHES L ANDESAMT FÜR
D ATENSCHUTZ A UFSICHT
35
6
B AYERISCHES L ANDESAMT FÜR
D ATENSCHUTZ A UFSICHT
… und in Zukunft nach DS-GVO
Art. 6 DS-GVO Rechtmäßigkeit der Verarbeitung
Kommission
EU-Parlament
Rat
Artikel 6 Rechtmäßigkeit der Verarbeitung
Artikel 6 Rechtmäßigkeit der Verarbeitung
Artikel 6 Rechtmäßigkeit der Verarbeitung
1. Die Verarbeitung personenbezogener Daten ist 1. Die Verarbeitung personenbezogener Daten ist nur 1.
nur rechtmäßig, wenn mindestens eine der nachrechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
stehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der a) Die betroffene Person hat ihre Einwilligung zu der
Verarbeitung der sie betreffenden personenVerarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere genau
bezogenen Daten für einen oder mehrere genau
festgelegte Zwecke gegeben.
festgelegte Zwecke gegeben.
Die Verarbeitung personenbezogener Daten ist
nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
(a) Die
betroffene
Person
hat
ihre
unmissverständliche
Einwilligung
zu
der
Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere genau
festgelegte Zwecke gegeben;
b) Die Verarbeitung ist für die Erfüllung eines b) Die Verarbeitung ist für die Erfüllung eines Vertrags, (b) die Verarbeitung ist für die Erfüllung eines
Vertrags, dessen Vertragspartei die betroffene
dessen Vertragspartei die betroffene Person ist,
Vertrags, dessen Vertragspartei die betroffene
Person ist, erforderlich oder zur Durchführung
erforderlich oder zur Durchführung vorvertraglicher
Person ist, oder zur Durchführung vorvertraglicher
vorvertraglicher Maßnahmen, die auf Antrag der
Maßnahmen, die auf Antrag der betroffenen Person
Maßnahmen erforderlich, die auf Antrag der
betroffenen Person erfolgen.
erfolgen.
betroffenen Person erfolgen;
…
f)
…
…
Die Verarbeitung ist zur Wahrung der f) Die Verarbeitung ist zur Wahrung der berechtigten (f)
Interessen des für die Verarbeitung Verantwortlichen
berechtigten Interessen des für die Verarbeitung
Verantwortlichen erforderlich, sofern nicht die
– oder, im Fall der Weitergabe, der berechtigten
Interessen eines Dritten, an den die Daten
Interessen oder Grundrechte und Grundfreiheiten
weitergegeben wurden – , die die berechtigten
der betroffenen Person, die den Schutz
Erwartungen der betroffenen Person, die auf
personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der
ihrem Verhältnis zu dem für die Verarbeitung
Verantwortlichen beruhen, erfüllen, erforderlich,
betroffenen Person um ein Kind handelt. Dieser
sofern nicht die Interessen oder Grundrechte und
gilt nicht für die von Behörden in Erfüllung ihrer
Grundfreiheiten der betroffenen Person, die den
Aufgaben vorgenommene Verarbeitung.
Schutz
personenbezogener
Daten
erfordern,
überwiegen. Dieser gilt nicht für die von Behörden in
Erfüllung
ihrer
Aufgaben
vorgenommene
Verarbeitung.
die Verarbeitung ist zur Wahrung der berechtigten
Interessen des für die Verarbeitung Verantwortlichen oder eines Dritten erforderlich, sofern nicht
die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz
personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der
betroffenen Person um ein Kind handelt. (…) .
36
6
B AYERISCHES L ANDESAMT FÜR
D ATENSCHUTZ A UFSICHT
… und in Zukunft nach DS-GVO
Art. 6 DS-GVO Rechtmäßigkeit der Verarbeitung
Kommission
EU-Parlament
Rat
Artikel 6 Rechtmäßigkeit der Verarbeitung
Artikel 6 Rechtmäßigkeit der Verarbeitung
Artikel 6 Rechtmäßigkeit der Verarbeitung
1. Die Verarbeitung personenbezogener Daten ist 1. Die Verarbeitung personenbezogener Daten ist nur 1.
nur rechtmäßig, wenn mindestens eine der nachrechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
stehenden Bedingungen erfüllt ist:
a) Die
betroffene
Person
hat
Einwilligung
(a) Die
betroffene
unmissverständliche
ihre
a) Die betroffene Person hat ihre Einwilligung zu der
Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere genau
Verarbeitung der sie betreffenden personenfestgelegte Zwecke gegeben.
bezogenen Daten für einen oder mehrere genau
festgelegte Zwecke gegeben.
zu
b) Die Verarbeitung ist für die Erfüllung eines
Vertrags,
…
Die
Verarbeitung
ist
ihre
zu
der
Vertrags
, dessen Vertragspartei
die betroffene Person ist, oder zur Durchführung
vorvertraglicher Maßnahmen erforderlich, die auf
Antrag der betroffenen Person erfolgen;
…
zur f) Die Verarbeitung ist zur Wahrung der berechtigten (f)
Interessen des für die Verarbeitung Verantwortlichen
– oder, im Fall der Weitergabe, der berechtigten
Interessen eines Dritten, an den die Daten
weitergegeben wurden – , die die berechtigten
Erwartungen der betroffenen Person, die auf
ihrem Verhältnis zu dem für die Verarbeitung
Verantwortlichen beruhen, erfüllen, erforderlich,
sofern nicht die Interessen oder Grundrechte und
des für die
Grundfreiheiten der betroffenen Person, die den
Verarbeitung Verantwortlichen erforderlich, sofern
Schutz
personenbezogener
Daten
erfordern,
nicht die Interessen oder Grundrechte und
überwiegen. Dieser gilt nicht für die von Behörden in
Erfüllung
ihrer
Aufgaben
vorgenommene
Grundfreiheiten der betroffenen Person, die den
Verarbeitung.
Schutz personenbezogener Daten erfordern,
über-wiegen, insbesondere dann, wenn es sich
Wahrung
der
berechtigten
Interessen
hat
Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere genau
festgelegte Zwecke gegeben;
(b) die Verarbeitung ist für die Erfüllung eines
b) Die Verarbeitung ist für die Erfüllung eines Vertrags,
dessen Vertragspartei die betroffene Person ist,
dessen Vertragspartei
erforderlich oder zur Durchführung vorvertraglicher
die betroffene Person ist, erforderlich oder zur
Maßnahmen, die auf Antrag der betroffenen Person
erfolgen.
Durchführung vorvertraglicher Maßnahmen, die
auf Antrag der betroffenen Person erfolgen.
f)
Person
Einwilligung
der
…
Die Verarbeitung personenbezogener Daten ist
nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
die
Verarbeitung
ist
zur
Wahrung
der
berechtigten
Interessen
des
für
die
Verarbeitung Verantwort-lichen oder eines Dritten
erforderlich, sofern nicht die Interessen oder
Grundrechte und Grund-freiheiten der betroffenen
Person, die den Schutz personenbezogener
Daten erfordern, über-wiegen, insbesondere
37
B AYERISCHES L ANDESAMT FÜR
D ATENSCHUTZ A UFSICHT
Vielen Dank für Ihr Interesse
Alexander Filip
Thomas Kranig
Bayerisches Landesamt für Datenschutzaufsicht
Promenade 27 (Schloss)
91522 Ansbach
Telefon: (0981) 53-1300
Telefax: (0981) 53-5300
E-Mail:
[email protected]
Webseite: www.lda.bayern.de

Download Report