Datenschutz

Schützt nicht nur Ihre Daten vor unberechtigtem Zugriff und Manipulation, sondern auch Ihre Mitarbeiter, Kunden und Lieferanten!

Jede natürliche Person hat das Recht auf Privatheit und freie Entfaltung der Persönlichkeit. Damit kann jeder Mensch entscheiden wann er wem welche persönlichen Informationen anvertraut (Recht auf informationelle Selbstbestimmung). Zu diesen persönlichen Informationen, den sogenannten personenbezogenen Daten, zählen alle Einzelangaben über persönliche und sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Dazu zählen neben Name, Anschrift und Telefonnummern auch Kontodaten, Kfz-Kennzeichen und Kundennummern. Auch Aussehen, der Gang, persönliche Eigenschaften – all das zählt zu den personenbezogenen Daten. Informationen über Arbeitszeiten, Leistungsdaten und Pausen zählen genauso dazu wie persönliche Vorlieben und Neigungen. Mit dem heutigen Stand der Digitalisierung dürfen auch E-Mail Adresse, IP-Adresse und alle Spuren, die wir im Worldwide Web hinterlassen nicht vergessen werden. Auch Videoüberwachung zählt dazu. Noch komplizierter wird es, wenn wir uns die Kategorie der besonderen personenbezogenen Daten anschauen. Diese Daten sind dem Namen nach besonders schützenswert und unterliegen demzufolge noch höheren Anforderungen. Zu den besonderen personenbezogenen Daten zählen Informationen über rassische und ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugung, sexuelle Orientierung, biometrische und genetische Daten sowie Gesundheitsdaten.

In Deutschland gibt es zum Schutz dieser Rechte seit 1970 gesetzliche Regelungen. Damals hatte das Bundesland Hessen ein sogenanntes Datenschutzgesetz erlassen und damit den Begriff „Datenschutz“ kreiert. Dieser Begriff beschreibt den Datenschutz wie wir ihn heute verstehen nur begrenzt. Die IT-Sicherheit, also der Schutz vor Löschung und Manipulation von Daten scheint hier im Fokus zu sein. Den Nagel besser auf den Kopf trifft es, wenn man in Frankreich über „Informatique et libertés“ (Informatik und Freiheit) spricht.

Seit 1977 existiert auch auf Bundesebene ein Datenschutzgesetz. Das Bundesdatenschutzgesetz (BDSG) in seiner heutigen Fassung gibt es seit 1990 nachdem die Erkenntnisse aus dem Volkszählungsurteil 1983 mit eingeflossen sind. Die EU-Richtlinie 95/46/EG von 1995 beschreibt Mindeststandards für Datenschutz und regelt einen freien Datenverkehr in der Europäischen Union. Diese Richtlinie wurde in Deutschland erst im Mai 2001 durch eine Änderung des BDSG umgesetzt.

Seit April 2016 ist nun eine Europäische Verordnung – die Datenschutz-Grundverordnung (DSGVO) in Kraft getreten. Sie ist seit 25.Mai 2018 umzusetzen. Die DSGVO gilt unmittelbar für alle Staaten der Europäischen Union und muss nicht durch nationale Gesetze umgesetzt werden. Allerdings erlaubt die DSGVO durch sogenannte Öffnungsklauseln den Staaten eine Präzisierung an einigen Stellen. Zu diesem Zweck hat die Bundesregierung ein neues Bundesdatenschutzgesetz (BDSG neu) erlassen das sogenannte
„Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs-und Umsetzungsgesetz EU – DSAnpUG-EU)“

Dieses Gesetz löst das bisherige BDSG ab und gilt wie die DSGVO seit 25.Mai 2018.

Das Vertrauen ist eine zarte Pflanze. Ist es einmal zerstört, so kommt es so bald nicht wieder.

Otto von Bismarck

Was hat sich durch die Europäische Datenschutz-Grundverordnung (DSGVO) geändert?

Betroffenenrechte:

Ihr Unternehmen muss Betroffene bereits bei der Erhebung von personenbezogenen Daten informieren. Unter anderem müssen Zweck und Rechtsgrundlage der Verarbeitung, Empfänger der Daten (sofern sie weitergegeben werden) sowie die Dauer der Speicherung angegeben werden (Art. 13).

Einwilligung des Betroffenen:

Beruht die Verarbeitung auf der Einwilligung des Betroffenen so muss der Verantwortliche des Unternehmens nachweisen können, dass der Betroffene eingewilligt hat. Es gelten hier besondere Formvorschriften. Die Einwilligung kann vom Betroffenen jederzeit widerrufen werden (Art. 7).

Datenschutz-Folgenabschätzung:

Besteht voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen muss eine Datenschutz-Folgenabschätzung durchgeführt werden (Art.35).

Benennung Datenschutzbeauftragter:

Alle Unternehmen und freiberuflich tätigen Unternehmer sind verpflichtet einen Datenschutzbeauftragten zu benennen. Davon ausgenommen sind lediglich Unternehmen, die in der Regel weniger als 20 Mitarbeiter mit der Verarbeitung von personenbezogenen Daten beschäftigt haben. Diese Ausnahme gilt allerdings nicht für bestimmte Unternehmen, wenn sie beispielsweise besondere Kategorien personenbezogener Daten verarbeiten (niedergelassene Ärzte, Heilpraktiker, Gemeinschaftspraxen, Steuerberater, selbständige Physiotherapeuten etc.). Die Kontaktdaten des Datenschutzbeauftragten sind zu veröffentlichen und der Aufsichtsbehörde mitzuteilen (Art 37 und BDSG neu § 22).

Nachweispflicht

Als Verantwortlicher eines Unternehmens sind Sie verantwortlich dafür, dass technische und organisatorische Maßnahmen ergriffen werden, damit sichergestellt ist und der Nachweis erbracht werden kann, dass die Verarbeitung von personenbezogenen Daten gemäß der DSGVO erfolgt (Art. 5). Dazu ist eine umfangreiche Dokumentation der Entscheidungen und Prozesse, die im Zusammenhang mit dem Datenschutz stehen, unerlässlich.

Verfahrensverzeichnis:

Bisher war ein Verfahrensverzeichnis mit minimalem Informationsgehalt an Jedermann auf Anforderung zu kommunizieren. Künftig ist jeder Verantwortliche und jeder Auftragsverarbeiter verpflichtet ein detailliertes Verzeichnis aller Verarbeitungstätigkeiten zu führen. Dieses Verzeichnis ist auf Anfrage der Aufsichtsbehörde zur Verfügung zu stellen (Art. 30).
Die europäische Gesetzgebung entbindet hier durch eine sogenannte „Kleinunternehmerregelung“ kleine und mittlere Unternehmen bis 250 Mitarbeitern von der Dokumentation der Verfahren. Diese Regelung gilt allerdings nicht, wenn ein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht, die Verarbeitung nicht nur gelegentlich erfolgt und wenn es sich um die Verarbeitung von besonderer Datenkategorien handelt.

Bußgeld:

Künftig können abhängig von der Art, Schwere und Dauer der Verstöße gegen die DSGVO Bußgelder bis zu 20 Mio. EUR oder bis zu 4% des weltweit erzielten Jahresumsatzes verhängt werden (Art 83).

Was ist mit der IT-Sicherheit?

Natürlich ist jedes Unternehmen auch weiterhin dafür verantwortlich, dass die Verarbeitung personenbezogener Daten so erfolgt, dass die Daten weder

  • unberechtigterweise eingesehen werden können
  • manipuliert werden können
  • gelöscht werden können sondern jederzeit verfügbar sind.

Dazu sind geeignete technische und organisatorische Maßnahmen zu ergreifen (Art. 5). Darüber hinaus ist durch Technikgestaltung (privacy by design) und durch datenschutzrechtliche Voreinstellung (privacy by default) dafür zu sorgen, dass die Datenschutzgrundsätze gem. Art.5 (zum Beispiel Datenminimierung oder Speicherbegrenzung) umgesetzt werden (Art. 25).

Wer muss sich überhaupt um Datenschutz kümmern?

Die DSGVO gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten als auch für die nichtautomatisierte Verarbeitung von Daten, die in einem Dateisystem gespeichert werden oder gespeichert werden sollen. Ausgenommen sind Verarbeitungen durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten (Art. 2). Betroffen sind

  • Alle natürlichen und juristischen Personen, Behörden, Einrichtungen oder andere Stellen (Verantwortliche), die über Zweck und Mittel der Verarbeitung von personenbezogenen Daten entscheiden (Art. 4 Abs.7)
  • Sogenannte Auftragsverarbeiter, die im Auftrag des Verantwortlichen personenbezogene Daten verarbeiten (Art. 4 Abs.8)
  • Sogenannte Empfänger, die personenbezogene Daten von Verantwortlichen oder Auftragsverarbeitern erhalten (Art. 4 Abs.9)