Fachwissen Datenschutz-Grundverordnung

Datenschutz Bundesdatenschutzgesetz(BDSG Personenbezogene Daten Datenschutzbeauftragter Datenschutzvorschriften Bankgeheimnis Datenverarbeitung Vernichtung Unterlagen Zugangskontrolle Benutzerkennwort

Seit dem 25. Mai 2018 sind die Regelungen der DSGVO in allen Staaten der EU ein einheitlich geltendes Recht. In Deutschland wurden die Regelungen der DSGVO im Bundesdatenschutzgesetz (BDSG) verankert.

Die Datenschutzaufsichtsbehörden erhalten zur Durchsetzung des BDSG umfangreiche Befugnisse, welche durch eine Ausweitung des Bußgeldrahmens bei Verstößen flankiert werden.

Die Datenschutz Grundverordnung untersagt geschützte personenbezogene Daten unbefugt zu einem anderen als dem zur jeweiligen rechtmäßigen Aufgabenerfüllung gehörenden Zweck zu verarbeiten (d.h. erheben, erfassen, speichern, verändern, abzufragen, abgleichen, auslesen, übermitteln, …).

Unter personenbezogene Daten sind alle Informationen zu verstehen, die sich auf eine identifizierte oder mittels Zuordnung einer Kennung bzw. mehrere besondere Merkmalen auf eine identifizierbare natürliche Person beziehen.

Personenbezogene Daten geben Auskunft über eine natürliche Person. Darunter fallen Angaben wie z.B.

Name
Adresse
Alter
Beruf
Staatsangehörigkeit
Religionszugehörigkeit
Sexuelle Orientierung
Gesundheit
Vermögensstand
IP-Adresse, Cookies
Digitale Fotos (wenn Personen erkennbar)

Die Anwendung des DSGVO richtet sich auf die Verarbeitung personenbezogener Daten natürlicher Personen. Jegliches grundlegendes Handeln unterliegt hiernach somit der Wahrung der Vertraulichkeit von personenbezogenen Daten als auch der Verschwiegenheit gegenüber Unbefugten.

Natürliche Personen haben über ihre gespeicherten persönlichen Daten ein Auskunftsrecht. Die Anfrage zur Auskunft über diese Daten kann durch eine formlose Anfrage (z.B. via E-Mail oder Brief) erfolgen.

Innerhalb eines Monats muss eine Rückmeldung über die angeforderten Informationen (welche Daten, Herkunft der Daten, Verwendung der Daten, Dauer der Datenspeicherung) vorliegen.

Untersagt eine natürliche Person die Weitergabe von personenbezogenen Daten, dann sind diese nicht nur vor dem Zugriff Dritter zu schützen, sondern dürfen auch nicht für personenbezogene Werbung verarbeitet werden.

Neben dem Recht, falsche Daten korrigieren zu lassen, müssen auf Verlangen alle Daten tatsächlich so vernichtet/ gelöscht werden, dass sie auch nicht (mehr) einem Dritten zur Verfügung stehen. Damit haben natürliche Personen auch das Recht auf digitales Vergessen.

Personenbezogene Daten dürfen jedoch nicht immer gelöscht werden. Beispielsweise wenn es gesetzliche Aufbewahrungsfristen (z.B. Rechnungen) zu beachten gibt.

Darüber hinaus kann die Einsicht in Dokumente dann beschränkt oder verwehrt werden, wenn dieses die Rechte und Freiheiten anderer Personen beeinträchtigen würde, insbesondere ein berechtigtes Interessen Dritter an einer Geheimhaltung besteht.

Die Datenschutz-Erklärungen müssen nunmehr so verständlich verfasst sein, dass auch Kinder und Jugendliche den Inhalt verstehen können, wenn sich z.B. ein Angebot auf einer Webseite an diese richtet. Die entsprechende Einwilligung kann von Jugendlichen – sofern 16 Jahre alt - selbst, ansonsten durch die Eltern erfolgen.

Betroffen von den Datenschutzbestimmungen ist die Verarbeitung der Daten, wenn die Tätigkeiten innerhalb der EU erfolgen.

Sollte ein Unternehmen seine Niederlassung(en) außerhalb der EU haben, sind die Regelungen der DSGVO trotzdem zu beachtet, wenn Waren oder Dienstleistungen in der EU angeboten werden und diese Aktivitäten im Zusammenhang zu der Datenverarbeitung stehen.

Grundprinzipen nach Datenschutz-Grundverordnung (DSGVO):

Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten, es sei denn, es liegt eine Einwilligung oder eine in der DSGVO normierte Ausnahme (Erfüllung eines Vertrags, Erfüllung einer rechtlichen Verpflichtung) vor.

Insbesondere muss sie im Einklang mit den Bestimmungen der EU Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG), sowie aller weiteren maßgeblichen Gesetze stehen.

Sofern eine Einwilligung erforderlich ist, ist diese nach Art. 9 Abs. 2a i.V. mit Art. 7 DSGVO einzuholen.

Datensparsamkeit:

Die Verarbeitung personenbezogener Daten muss auf das für den Zweck der Verarbeitung notwendige Maß beschränkt sowie dem Zweck angemessen und sachlich relevant sein.

Zur Erfüllung gesetzlicher Verpflichtungen wie z.B. handels- und steuerrechtlichen Aufbewahrungspflichten dienen als Rechtsgrundlage für die Verarbeitung von Daten die jeweiligen gesetzlichen Regelungen i.V. mit Art. 6 Abs. 1c DSGVO.

Zweckbindung:

Personenbezogene Daten dürfen nur für festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden.

Rechtsgrundlage für die Verarbeitung personenbezogener Daten für (vor)vertragliche Zwecke ist Art. 6 Abs. 1b DSGVO.

Relevante personenbezogene Daten sind Personalien (Name, Adresse und andere Kontaktdaten, Geburtsdatum und -ort, Staatsangehörigkeit), evtl. Lebensgemeinschaft, Lebenslauf, ggf. Bankverbindung und ggf. Steuerdaten, sowie andere mit den genannten Kategorien vergleichbare Daten.

Datensicherheit:

Der Unternehmer hat geeignete technische und organisatorische Maßnahmen zur Datensicherheit umzusetzen. Dabei hat er neben dem Stand der Technik und den Implementierungskosten, den Zweck der Datenverarbeitung, aber auch die Eintrittswahrscheinlichkeit und die Schwere des Risikos für die persönlichen Rechte zu berücksichtigen.

Eine Verletzung des Schutzes personenbezogener Daten muss der Unternehmer unverzüglich, nach Möglichkeit innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls, an die zuständige Datenschutzbehörde melden. Es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten des Betroffenen.

Rechte von Betroffenen:

Unternehmen haben gegenüber den Betroffenen weitreichende Informationspflichten zu erfüllen, z. B. über den Zweck und die Rechtsgrundlage der Datenverarbeitung. Sie müssen gegenüber einer anfragenden Person Auskunft darüber geben, ob und ggf. welche Daten dieser Personen sie verarbeitet haben.

Darüber hinaus können Betroffene von Unternehmen verlangen, dass unzutreffende personenbezogene Daten berichtigt oder Daten gelöscht werden, weil z. B. die Einwilligung zur Datenverarbeitung widerrufen wurde.

Art. 15 DSGVO

Betroffene können Auskunft über die zu ihrer Person gespeicherten Daten verlangen.

Art. 16 DSGVO

Betroffene können die Berichtigung ihrer Daten verlangen.

Art. 17 DSGVO

Betroffene können unter bestimmten Voraussetzungen die Löschung ihrer Daten verlangen.

Art. 18 DSGVO

Betroffene haben ein Recht auf Einschränkung der Verarbeitung ihrer Daten.

Art. 20 DSGVO

Betroffene haben ein Recht auf Herausgabe der von Ihnen bereitgestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format.

Abschätzung von Datenschutz-Folgen:

Der Unternehmer muss vorab vorsorglich eine „Datenschutz-Folgen Abschätzung“ durchführen, wenn die Art der Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten birgt.

Ein Datenschutzbeauftragter ist u. a. zu benennen, wenn ein deutsches Unternehmen mehr als zehn Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt.

Muss ein Unternehmen eine Datenschutz-Folgenabschätzung durchführen, ist ein Datenschutzbeauftragter unabhängig von der Anzahl der Beschäftigten, die personenbezogene Daten verarbeiten, zu benennen.