Datenschutz-Grundverordnung (DS-GVO)
Jede natürliche Person hat das Recht auf Privatheit und freie Entfaltung der Persönlichkeit. Damit kann jeder Mensch entscheiden wann er wem welche persönlichen Informationen anvertraut (Recht auf informationelle Selbstbestimmung). Zu diesen persönlichen Informationen, den sogenannten personenbezogenen Daten, zählen alle Einzelangaben über persönliche und sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Dazu zählen neben Namen, Anschrift und Telefonnummern auch Kontodaten, Kfz-Kennzeichen und Kundennummern. Auch Aussehen, der Gang, persönliche Eigenschaften – all das zählt zu den personenbezogenen Daten. Informationen über Arbeitszeiten, Leistungsdaten und Pausen zählen genauso dazu wie persönliche Vorlieben und Neigungen. Mit dem heutigen Stand der Digitalisierung dürfen auch E-Mail Adresse, IP-Adresse und alle Spuren, die wir im Worldwide Web hinterlassen nicht vergessen werden. Auch Videoüberwachung zählt dazu. Noch komplizierter wird es, wenn wir uns die Kategorie der besonderen personenbezogenen Daten anschauen. Diese Daten sind dem Namen nach besonders schützenswert und unterliegen demzufolge noch höheren Anforderungen. Zu den besonderen personenbezogenen Daten zählen Informationen über rassische und ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugung, sexuelle Orientierung, biometrische und genetische Daten sowie Gesundheitsdaten.
In Deutschland gibt es zum Schutz dieser Rechte seit 1970 gesetzliche Regelungen. Damals hatte das Bundesland Hessen ein sogenanntes Datenschutzgesetz erlassen und damit den Begriff „Datenschutz“ kreiert. Dieser Begriff beschreibt den Datenschutz wie wir ihn heute verstehen nur begrenzt. Die IT-Sicherheit, also der Schutz vor Löschung und Manipulation von Daten scheint hier im Fokus zu sein. Den Nagel besser auf den Kopf trifft es, wenn man in Frankreich über „Informatique et libertés“ (Informatik und Freiheit) spricht.
Seit 1977 existiert auch auf Bundesebene ein Datenschutzgesetz. Es wurde 1990 überarbeitet und die Erkenntnisse aus dem Volkszählungsurteil 1983 sind darin eingeflossen. Die EU-Richtlinie 95/46/EG von 1995 als Vorläufer der DS-GVO beschreibt Mindeststandards für Datenschutz und regelt einen freien Datenverkehr in der Europäischen Union. Diese Richtlinie wurde in Deutschland erst im Mai 2001 durch eine weitere Änderung des BDSG umgesetzt.
Seit April 2016 ist nun eine europäische Verordnung – die Datenschutz-Grundverordnung (DS-GVO) in Kraft getreten. Sie ist seit 25.Mai 2018 umzusetzen. Die DS-GVO gilt unmittelbar für alle Staaten der Europäischen Union und muss nicht durch nationale Gesetze umgesetzt werden. Allerdings erlaubt die DS-GVO durch sogenannte Öffnungsklauseln den Staaten eine Präzisierung an einigen Stellen. Zu diesem Zweck hat die Bundesregierung ein neues Bundesdatenschutzgesetz (BDSG nF) erlassen. Dieses Gesetz hat das bisherige BDSG abgelöst und gilt wie die DS-GVO seit 25.Mai 2018.
Die katholische und die evangelische Kirche in Deutschland haben durch grundgesetzliche Vorgaben die Möglichkeit erhalten sich selbst eine eigene kirchenrechtliche Vorschrift zum Datenschutz zu formulieren. Diese hat selbstverständlich im Einklang mit der DS-GVO zu sein. Beide Kirchen haben davon Gebrauch gemacht und seit 24.Mai 2018 gelten das Datenschutzgesetz der evangelischen Kirche (DSG-EKD) und das Gesetz über den kirchlichen Datenschutz in der katholischen Kirche (KDG).
Das Vertrauen ist eine zarte Pflanze. Ist es einmal zerstört, so kommt es so bald nicht wieder.
Otto von Bismarck
Was hat sich durch die Europäische Datenschutz-Grundverordnung (DSGVO) geändert?
Betroffenenrechte:
Organisationen müssen Betroffene bereits bei der Erhebung von personenbezogenen Daten informieren. Unter anderem müssen Zweck und Rechtsgrundlage der Verarbeitung, Empfänger der Daten (sofern sie weitergegeben werden) sowie die Dauer der Speicherung angegeben werden (Art. 13).
Einwilligung des Betroffenen:
Beruht die Verarbeitung auf der Einwilligung des Betroffenen so muss der für die Verarbeitung Verantwortliche nachweisen können, dass der Betroffene eingewilligt hat. Es gelten hier besondere Formvorschriften. Die Einwilligung kann vom Betroffenen jederzeit widerrufen werden (Art. 7).
Datenschutz-Folgenabschätzung:
Besteht voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen muss eine Datenschutz-Folgenabschätzung durchgeführt werden (Art.35).
Benennung Datenschutzbeauftragter:
Alle nichtöffentlichen Organisationen sind verpflichtet einen Datenschutzbeauftragten zu benennen. Davon ausgenommen sind lediglich Organisationen, die in der Regel weniger als 20 Mitarbeiter mit der Verarbeitung von personenbezogenen Daten beschäftigt haben. Diese Ausnahme gilt allerdings nicht für diejenigen Organisationen, die umfangreich besondere Kategorien personenbezogener Daten (z. Bsp. Gesundheitsdaten, genetische und biometrische Daten, Informationen über rassische und ethnische Herkunft) verarbeiten oder wenn eine umfangreiche, regelmäßige und systematische Überwachung von Personen erfolgt. Die Kontaktdaten des Datenschutzbeauftragten sind zu veröffentlichen und der Aufsichtsbehörde mitzuteilen (Art.37 und BDSG nF § 22).
Rechenschaftspflicht
Als Verantwortlicher einer Organisation sind Sie dafür verantwortlich, dass technische und organisatorische Maßnahmen ergriffen werden. Damit wird sichergestellt, dass die Verarbeitung von personenbezogenen Daten gemäß den Grundsätzen der DS-GVO erfolgt (Art. 5). Nicht nur Details über ergriffene Maßnahmen selbst, sondern auch der Prozess zur Entscheidung, Abwägung von Risiken etc. sind zu dokumentieren.
Verfahrensverzeichnis:
Nach altem BDSG war ein Verfahrensverzeichnis mit minimalem Informationsgehalt an Jedermann auf Anforderung zu kommunizieren. Mit der DS-GVO ist nun jeder Verantwortliche und jeder Auftragsverarbeiter verpflichtet ein detailliertes Verzeichnis aller Verarbeitungstätigkeiten zu führen. Dieses Verzeichnis ist auf Anfrage der Aufsichtsbehörde zur Verfügung zu stellen (Art. 30).
Die europäische Gesetzgebung entbindet hier durch eine sogenannte „Kleinunternehmerregelung“ kleine und mittlere Unternehmen bis 250 Mitarbeitern von der Dokumentation der Verfahren. Diese Regelung gilt allerdings nicht, wenn ein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht, die Verarbeitung nicht nur gelegentlich erfolgt und wenn es sich um die Verarbeitung von besonderer Datenkategorien nach Artt. 9+10 handelt.
Bußgeld und Schadenersatzansprüche:
Nach Einführung der DS-GVO können abhängig von der Art, Schwere und Dauer der Verstöße gegen die Vorgaben der DS-GVO Bußgelder bis zu 20 Mio. EUR oder bis zu 4% des weltweit erzielten Jahresumsatzes verhängt werden (Art 83). Neben Bußgeldern, die die Aufsichtsbehörde verhängt, stellen wir seit einiger Zeit fest, dass Betroffene erfolgreich Schadenersatzansprüche gegenüber Verantwortlichen geltend machen. Dabei handelt es sich überwiegend um Verstöße gegen das Wettbewerbsrecht und das Datenschutzrecht. Art. 82 DS-GVO gewährt Personen einen Schadenersatzanspruch für materiellen und immateriellen Schaden der aus einem Verstoß gegen die DSGVO entstanden ist.
Was ist mit der IT-Sicherheit?
Natürlich ist jede Organisation auch weiterhin dafür verantwortlich, dass die Verarbeitung personenbezogener Daten so erfolgt, dass die Daten weder
- unberechtigterweise eingesehen werden können
- manipuliert werden können
- gelöscht werden können, sondern jederzeit verfügbar sind.
Das liegt meist im ureigenen Sinn der Organisation, denn häufig ist ohne korrekten Datenbestand eine Fortführung der Tätigkeit nicht möglich. Deshalb sind hier geeignete technische und organisatorische Maßnahmen zu ergreifen um die Grundsätze gem. Art. 5 – und hier insbesondere die Richtigkeit sowie Integrität und Vertraulichkeit der Informationen – einzuhalten. Darüber hinaus ist durch Technikgestaltung (privacy by design) und durch datenschutzrechtliche Voreinstellung (privacy by default) dafür zu sorgen, dass Datenschutzgrundsätze wie Datenminimierung oder Speicherbegrenzung umgesetzt werden.
Damit die vorgenannten Schutzziele nicht verletzt werden sind geeignete Schutzmaßnahmen zu treffen. Gerade in Zeiten wie wir sie aktuell erleben, in denen Organisationen ständig mit Cyber-Angriffen rechnen müssen, ist es wichtig die Organisation ganzheitlich zu schützen. Es bietet sich ein IT-Sicherheitsmanagement an. Ob eine Ausrichtung und Prüfung nach ISO 27001, TISAX oder nach BSI IT-Grundschutz-Standards gewählt wird ist meist von der Größe und Struktur der Organisation abhängig.
Wer muss sich überhaupt um Datenschutz kümmern?
Die DSGVO gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten als auch für die nichtautomatisierte Verarbeitung von Daten, die in einem Dateisystem gespeichert werden oder gespeichert werden sollen. Ausgenommen sind Verarbeitungen durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten (Art. 2). Betroffen sind
- Alle natürlichen und juristischen Personen, Behörden, Einrichtungen oder andere Stellen (Verantwortliche), die über Zweck und Mittel der Verarbeitung von personenbezogenen Daten entscheiden (Art. 4 Abs.7)
- Sogenannte Auftragsverarbeiter, die im Auftrag des Verantwortlichen personenbezogene Daten verarbeiten (Art. 4 Abs.8)
- Sogenannte Empfänger, die personenbezogene Daten von Verantwortlichen oder Auftragsverarbeitern erhalten (Art. 4 Abs.9)