DSGVO gilt seit 25.5.2018 in der EU

Seit dem 25.5.2018 ist die neue Datenschutzgrundverordnung in der EU gültig. Seit dem 20.7.2018 auch in den Staaten des Europäischen Wirtschaftsraums (EWR)  Norwegen, Island und Lichtenstein.

Viele Unternehmen befassen sich seither aktiv mit der Einhaltung von Datenschutz innerhalb ihres Betriebes, um eine Abmahnung wegen gesetzwidriger Datenverwaltung zu vermeiden. Richtig ist, dass die Einhaltung der Datenschutzgesetze von den Behörden kontrolliert wird und ein Datenverstoß mit Bußgeldern in Höhe von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes eines Unternehmens sehr teuer werden kann.  Ebenso richtig ist, seit Geltung der neuen Datenschutzgesetze, sind Nutzer aufmerksamer geworden, was die Verwendung ihrer Daten im Internet betrifft. 

Anlässlich des einjährigen Geburtstags hier nochmal ein Blick in die Datenschutz Grundverordnung über den rechtmäßigen Umgang mit Nutzerdaten bei der Verarbeitung von personenbezogenen Daten.

Geltungsbereich und Definitionen

Wenn Sie personenbezogene Daten von Verbrauchern und Endkunden mit Wohnsitz oder Aufenthalt in der EU oder dem Europäischen Wirtschaftsraum verarbeiten und diesen Personen Waren oder Dienstleistungen anbieten, unterliegen Sie den Vorschriften der DSGVO, auch wenn sich ihr Standort oder ihre Niederlassung außerhalb des Gebiets der EU und des EWR befindet.

Die DSGVO definiert eine Reihe von Begriffen ausführlich. Im Folgenden sind einige der häufig gebrauchten Begriffe und deren Definitionen nach Artikel 4 DSGVO aufgeführt:

Personenbezogene Daten

Personenbezogene Daten sind alle Informationen, die sich auf eine Person beziehen, mit der sie direkt oder indirekt identifiziert werden kann. Namen und E-Mail-Adressen sind selbstverständlich personenbezogene Daten. Ortsinformationen, ethnische Zugehörigkeit, Geschlecht, biometrische Daten, religiöse Überzeugungen, Web-Cookies und politische Meinungen können auch personenbezogene Daten sein. Pseudonyme Daten können ebenfalls unter die Definition fallen, wenn es relativ einfach ist, jemanden dadurch zu identifizieren.

Datenverarbeitung

Als Datenverarbeitung bezeichnet man jeden mithilfe von Computern ausgeführten automatisierten oder manuellen EDV- Vorgang. Die im Gesetz zitierten Beispiele umfassen das Sammeln, Aufzeichnen, Organisieren, Strukturieren, Speichern, Verwenden, Löschen… also im Grunde alles, was mit der IT möglich ist.

Betroffene Person

Betroffene Person ist jede natürliche Person, deren Daten verarbeitet werden. Dies sind vor allem Beschäftigte, Kunden, Nutzer, Follower oder Site-Besucher, können aber auch die Geschäftsführer eines Unternehmens selbst sein, soweit eine persönliche elektronische Ansprache erfolgt, die nicht auf der Beziehung zu seinem Unternehmen beruht und daher auch nicht den vernünftigen Erwartungen der betroffenen Person als Geschäftsführer des Unternehmens entspricht.

Verantwortlicher

Als Verantwortlicher bezeichnet die DSGVO die natürliche Person, die Organisation oder Einrichtung oder Unternehmen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Es geht darum, wer die Kontrolle über die vom Nutzer zur Verfügung gestellten personenbezogenen Daten hat und darüber in seinem Unternehmen entscheidet, ob sie für das Unternehmen verwendet werden und zu welchen Zwecken sie dort verwendet werden. Wenn ein Mitarbeiter ihres Unternehmens Daten erhebt und speichert, sind Sie – als Inhaber des Unternehmens alleiniger Verantwortlicher im Sinne des Gesetzes anzusehen (d.h. sie haften für gesetzwidrige Datenverarbeitung durch ihrer Mitarbeiter).

Auftragsverarbeiter

Ein Auftragsverarbeiter ist eine natürliche Person, ein Unternehmen, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten gemäß den Weisungen des für die Datenverarbeitung Verantwortlichen auf der Grundlage eines Vertrages verarbeitet. Art. 28 Abs. 3 DSGVO gibt dabei dessen inhaltliche Mindestanforderungen vor. Auftragsverarbeiter können beispielsweise Clouddienste und Cloudserver sein. Der Vertrag über die Auftragsverarbeitung muss enhalten, welche Art von personenbezogenen Daten verarbeitet werden sowie Gegenstand und Zweck der Verarbeitung. Grundsätzlich ist der für die Datenverarbeitung Verantwortliche, also der Auftraggeber, der erste Ansprechpartner für Betroffene und für die Einhaltung der datenschutzrechtlichen Vorgaben zuständig. Der Auftragsverarbeiter haftet gemäß Art. 82 DSGVO gemeinsam mit dem Verantwortlichen, soweit es sich um Verstöße gegen speziell ihm auferlegte Pflichten handelt.

Grundsätze des Datenschutzes

Für die Datenverarbeitung verantwortliche Unternehmer sind verpflichtet, personenbezogene Daten gemäß den Grundsätzen des Art. 5 Absatz 1 lit. a) bis f) DSGVO einzuhalten und deren Einhaltung nach Art. 5 Absatz 2 DSGVO nachzuweisen.

Grundsatz der Rechtmäßigkeit, des Treu und Glaubens und der Transparenz

Die Verarbeitung der Daten der betroffenen Person darf von den Verantwortlichen nur vorgenommen werden, wenn sie rechtmäßig, nach Treu und Glauben und transparent erfolgt. Treu und Glauben ist ein in der Rechtsprechung und Lehre herrschender Grundsatz nach § 242 BGB. Er bezeichnet das Verhalten eines redlich und anständig handelnden Menschen. Das heißt, Unternehmen dürfen die Daten nur für die Prozessabläufe verarbeiten, für deren Zweck sie sie auch erhoben haben.

Grundsatz der Zweckbindung

Verantwortliche dürfen Daten der betroffenen Person (Nutzers) nur zu den ihr mitgeteilten, im Zeitpunkt der Erhebung und Erfassung der personenbezogenen Daten zu festgelegten, eindeutigen und legitimen Zwecken verarbeiten.

Grundsatz der Datenminimierung

Verantwortliche dürfen nur so viele Daten sammeln und verarbeiten, wie es zu den angegebenen Zwecken erforderlich ist.

Grundsatz der Richtigkeit

Verantwortliche sind verpflichtet, die gesammelten, persönlichen Daten der betroffenen Person in sachlicher Art und Weise korrekt zu erfassen und regelmäßig zu aktualisieren.

Grundsatz der Speicherbegrenzung

Verantwortliche dürfen personenbezogene Daten nur so lange speichern, wie dies für den angegebenen Zweck erforderlich ist.

Grundsatz der Integrität und Vertraulichkeit

Bei der Erhebung der Daten müssen Verantwortliche eine angemessene, nach aktuellem technischen Stand sichere, integere und vertrauliche Verarbeitung, z. B. durch Verschlüsselung, gewährleisten.

Grundsatz der Rechenschaftspflicht

Der für die Datenverarbeitung Verantwortliche hat sämtlich Grundsätze zum Schutz personenbezogener Daten einzuhalten und die Einhaltung der Grundsätze auch nachzuweisen.

Dies ist eine zentrales Aufgabe für den datenverarbeitenden Betrieb. Jeder datenverarbeitende Unternehmer hat Rechenschaft über die Verarbeitung personenbezogener Daten abzulegen. Dies kann durch nachfolgende Aktionen geschehen:

  • Aktive Überwachung der Verarbeitungstätigkeiten des Unternehmens. 
  • Detaillierte Verzeichnisse über die gesammelten Daten: Beispiel: Wann Nutzerdaten erhoben wurden, wie sie verwendet wurden und wo sie gespeichert worden sind und wer im Betrieb dafür zuständig war.
  • Schulungen der Mitarbeiter des Unternehmens und Umsetzung erforderlicher technischer und organisatorischer Sicherheitsmaßnahmen.
  • Schriftliche Verträge mit Auftragsverarbeiter.
  • Soweit KMU mehr als 20 Beschäftigte im Betrieb hat: Bestellung eines Datenschutzbeauftragten.

Datensicherheit

Der Unternehmer, der persönliche Daten in seinem Betrieb nutzt, hat bei der Verarbeitung der Daten nach der DSGVO für ein angemessenes Sicherheitsniveau zu sorgen. Dazu gehören insbesondere  geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO.

Technische Maßnahmen können die Verpflichtung von IT Beschäftigten, Zwei-Faktor-Authentifizierung für einen Kontozugang, in denen personenbezogene Daten gespeichert sind, bis zum Abschluss eines Vertrags mit Cloud-Anbietern, die End-to-End-Verschlüsselung verwenden, sein..

Organisatorische Maßnahmen sind beispielsweise Mitarbeiterschulungen, das Hinzufügen einer Datenschutzrichtlinie zu Ihrem Unternehmenshandbuch oder Leitlinien oder die Einschränkung des Zugriffs auf personenbezogene Daten auf diejenigen Beschäftigten ihres Unternehmens, die für die Bearbeitung bestimmter personenbezogener Daten sachlich zuständig sind.

Wenn eine Datenpanne dennoch passiert, dann hat der Verantwortliche in der Regel 72 Stunden Zeit, die betroffenen Personen zu informieren, andernfalls drohen Sanktionen. Auf die Informationspflicht kann nur dann ganz verzichtet werden, wenn der Verantwortliche technische Sicherheitsvorkehrungen wie die Verschlüsselung implementiert haben, die die geklauten Daten für einen Hacker unbrauchbar machen.

Datenschutz durch Technik und Einstellungen

Jede Nutzung und Verwendung von Daten im Unternehmen, ist nach der DSGVO auf Kompatibilität mit dem gesetzlichen Datenschutz zu überprüfen. In der Praxis bedeutet das, dass die Grundsätze des Datenschutzes bei jedem technischen Verfahren und System in den Büroräumen des Betriebs und jeder Vernetzung von unterschiedlichen Geräten innerhalb des Betriebs beachtet werden sollte.

Angenommen, ein Unternehmer installiert ein neues System für interne Abläufe in ihrem Unternehmen, wie z.B. Alarm ein- oder ausschalten über eine App, dann muss er sich überlegen, welche personenbezogenen Daten von Benutzern der App gesammelt werden und sodann, wie er als Verantwortlicher die Datenmenge minimieren und wie er es mit der neuesten Technologie sicherstellen kann.

Datenverarbeitung unter Erlaubnisvorbehalt

Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten. Das war auch schon vor Inkrafttreten der Datenschutzgrundverordnung so. Das beruht auf der informationellen Selbstbestimmung eines jeden Individuums, das verfassungsmäßige Grundrecht eines jeden Menschen. Daher bedarf es einer Erlaubnis zu deren Legitimation. Je nach Tatbestand der Verarbeitung, kann der verantwortliche Unternehmer sich auf die Erlaubnis des Art. 6 Abs. 1 DSGVO stützen.

  • Die betroffene Person hat ausdrücklich und eindeutig darin eingewilligt, ihre Daten zu verarbeiten 

Beispiel: Ein Nutzer meldet sich für ihr Newsletter an.

  • Die Verarbeitung ist erforderlich, um einen Vertrag abzuschließen oder den Vertrag vorzubereiten, bei dem die betroffene Person Vertragspartei ist. 

Beispiel: Sie haben beispielsweise eine Bonitätsprüfung durchzuführen, bevor Sie ein Objekt an einen potenziellen Mieter vermieten.

  • Der Verantwortliche ist rechtlich verpflichtet, die Daten zu verarbeiten. 

Beispiel: Es liegt eine gerichtliche Verfügung vor, die Daten zu verarbeiten.

  • Der Verantwortliche ist zum Schutze lebenswichtiger Interessen zur Verarbeitung der Daten verpflichtet.

Beispiel: Sie verarbeiten die persönlichen Daten einer Person, um ihr das Leben zu retten.

  • Die Verarbeitung ist erforderlich, um eine im öffentlichen Interesse liegende Aufgabe zu erfüllen oder eine hoheitliche Aufgabe auszuüben.

Beispiel:  Sie führen ein Entsorgungsunternehmen, das im Auftrag der Stadt handelt.

  • Der Verantwortliche  hat ein berechtigtes Interesse daran, die personenbezogenen Daten einer Person zu verarbeiten. Das berechtigte Interesse umfasst das rechtliche, tatsächliche, wirtschaftliche und ideelle Interesse eines Unternehmers. Es setzt aber immer eine Interessenabwägung zwischen dem Zweck der Datenverarbeitung und der Art und des Inhalts der betroffenen Daten voraus. Die Grundrechte und Grundfreiheiten einer betroffenen Person dürfen dabei nicht überwiegen. Das ist immer der Fall, wenn es sich um persönliche Daten von Minderjährigen handelt.  Im Übrigen ist das berechtigte Interesse ist Einzelfallprüfung, d.h. es wird vor Verwendung dieser Rechtsgrundlage eine Interessenabwägung anhand der genannten Kriterien vorgenommen und dokumentiert.

Beispiel: Vorübergehende Speicherung der Daten und der Logfiles im Computersystem bei Aufruf einer Internetseite.

Nur wenn und soweit eine rechtmäßige Grundlage für eine Datenverarbeitung vorliegt, darf der Verantwortliche personenbezogene Daten einer betroffenen Person auch für eigene Zwecke benutzen (wie z.B. E-Mail-Werbung). 

Wichtig ist die Rechtsgrundlage für die Verarbeitung zu dokumentieren: Der Betroffene hat ein Auskunftsrecht. Verlangt eine betroffene Personen Auskunft über seine verarbeiteten Daten, muss der Unternehmer der betroffenen Person darüber Auskunft geben können, insbesondere, ob und wann Einwilligung erteilt und ob und wann diese ggf. auch von der betroffenen Person widerrufen worden ist (Grundsatz der Transparenz).

Einwilligung

Nicht jede Zustimmung ist gleich eine rechtmäßige Einwilligung im Sinne der DSGVO. Der Betroffene darf durch die Zustimmung nicht in seinem Persönlichkeitsrecht eingeschränkt werden, welches im Internet oft auf dem Spiel stehen kann, nämlich wenn die Grenze zwischen informierter und freier Zustimmung und den werblichen Verführungen des Unternehmers, den Nutzer zur Kauf- oder Wahlentscheidung zu bewegen, nicht klar gezogen wird. Die Datenschutzgrundverordnung befasst sich daher in Art. 7 DSGVO mit den “Bedingungen der Einwilligung”. 

Die wichtigsten Voraussetzungen an eine rechtmäßige Einwilligung nach der DSGVO sind:

  • Die freiwillige Entscheidung des Betroffenen 

Die Einwilligung der betroffenen Person hat freiwillig zu erfolgen. Freiwilligkeit liegt nach dem Gesetz vor, wenn die betroffene Person eine echte und freie Wahl hat, also in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden. Die bestätigende Handlung kann bei Vorliegen dieser Voraussetzungen auch elektronisch, durch „Anklicken“ eines Feldes im Internet, oder auch mündlich erfolgen. Bei der Wahl der geeigneten Form ist zu beachten, dass der Verantwortliche die Erteilung der Einwilligung nachweisen kann. 

  • Erkennbare und bestimmte Information für den Betroffenen 

Die Einverständniserklärung des Betroffenen soll bezogen auf einen bestimmten Fall gemäß Artikel 7 Absatz 2 DSGVO “klar von den anderen Sachverhalten zu unterscheiden” und in einer “klaren und einfachen Sprache” ersucht werden. Der Zweck der Verarbeitung darf nicht zu allgemein gehalten werden.

  • Widerruflichkeit der Einwilligung

Die betroffene Person darf ihre zuvor erteilte Einwilligung jederzeit und einfach widerrufen. Der Verantwortliche muss den Widerruf dann vorbehaltlos anerkennen. Er darf dann künftig nicht mehr die Daten dieser betroffenen Person verwenden, auch nicht unter dem Vorwand einer geänderten Rechtsgrundlage!

  • Keine Einwilligung von Kindern unter 13 Jahren

Ein minderjähriges Kind unter 13 Jahren kann gemäß Artikel 8 Abs. 1 DSGVO keine Einwilligung erteilen. Eine Einwilligung liegt nur vor, wenn die Eltern zugestimmt haben.

Datenschutzbeauftragter

Nicht jeder Unternehmer ist verpflichtet, einen Datenschutzbeauftragten zu bestellen. Nach Art. 37 DSGVO sieht die Pflicht zur Bestellung eines Datenschutzbeauftragten je nach ihrer Kerntätigkeit des Unternehmens vor, also wenn die umfangreiche Datenverarbeitung wesentlich für die Erreichung der Ziele eines Unternehmens ist. Zudem erhält die Vorschrift eine Öffnungsklausel für die Mitgliedstaaten. Deutschland hat davon nach § 38 Bundesdatenschutzgesetz (BDSG) Gebrauch gemacht. 

Demnach muss ein betrieblicher Datenschutzbeauftragter in folgenden Fällen bestellt werden:

  1. Die Verarbeitung der Daten wird von einer Behörde oder öffentlichen Stelle durchgeführt, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln,
  2. Der für die Datenverarbeitung Verantwortliche ist ein datenverarbeitendes Internet- oder Softwareunternehmen (z. B. SAP, Google, Facebook etc.)
  3. Die Kerntätigkeit des Unternehmens ist die Verarbeitung von besonderen Kategorien personenbezogener Daten, wie religiöse Weltanschauung, ethnische Herkunft der betroffenen Personen gemäß Art. 9 der DSGVO oder strafrechtliche Verurteilungen und Straftaten der betroffenen Person gemäß Art. 10 DSGVO zu verarbeiten.
  4. Nach § 38 ist die Bestellung eines Datenschutzbeauftragten für KMU derzeit noch ab 10 Mitarbeitern erforderlich. Der Bundestag hat aber bereits zur Entlastung der KMU eine Änderung beschlossen und die Bestellpflicht eines Datenschutzbeauftragten für Unternehmen ab 20 Mitarbeiter hochgesetzt (Zweiten Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUG-EU, Seite 3, 7).

Konzernen und Unternehmen stehen zwei Möglichkeiten offen ihrer Bestellpflicht nachzukommen. Entweder sie ernennen einen Mitarbeiter zum internen Datenschutzbeauftragten oder sie bestellen einen externen Datenschutzbeauftragten. Die Versäumnis einen Datenschutzbeauftragten zu bestellen, stellt eine bußgeldbewehrte Ordnungswidrigkeit dar.

Rechte der Betroffenen

Ein weiterer sehr zentraler Punkt in der DSGVO ist das Auskunftsrecht des Betroffenen. Der Betroffene kann gegenüber dem Unternehmer und Verantwortlichen, Auskunft über seine verarbeitenden Daten verlangen und ihm gegenüber weitere Rechte wie Löschung, Berichtigung geltend machen. Der Unternehmer hat dem Auskunftsverlangen gegenüber dem Betroffenen zu entsprechen. Eine unterlassene oder nicht vollständige Auskunft kann teuer werden.

Die Beantwortung des Auskunftsverlangens umfasst im Wesentlichen zwei Stufen

  1. Prüfung, ob überhaupt personenbezogene Daten des Betroffenen verarbeitet werden und dem Betroffenen das Ergebnis mitzuteilen.
  2. Falls 1. Stufe mit ja beantwortet wird, bestehen für den Betroffenen Auskunftsrechte über eine Bandbreite von Informationen. Dazu gehören die folgenden Informationen:
    • verarbeitete Kategorie bzw. Kategorien  personenbezogener Daten,
    • Empfänger bzw. Kategorien von Empfängern,
    • geplante Speicherdauer bzw. Kriterien für deren Festlegung,
    • Infos zu den Betroffenenrechten einschließlich Berichtigung, Löschung oder Einschränkung der Verarbeitung, Löschung der Verarbeitung,
    • Widerspruchsrecht gegen die Verarbeitung,
    • Hinweis auf das Beschwerderecht bei der Aufsichtsbehörde,
    • Angaben zur Herkunft der Daten, soweit diese nicht bei der Person selbst erhoben worden sind und über das etwaige Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling mit aussagekräftigen Informationen über die dabei involviert Logik und Tragweite und die angestrebten Auswirkungen solcher Verfahren,
    • Falls die betroffenen Daten in ein Drittland übertragen werden, Informationen über alle getroffenen, geeigneten Garantien.

Die Auskunftserteilung an die betroffene Person kann gemäß Art. 12 Abs. 1 Sätze 2 und 3 DSGVO in schriftlicher, mündlicher oder elektronischer Form erfolgen. Nach Art. 12 Abs. 3 DSGVO haben sie unverzüglich, binnen eines Monats zu erfolgen. Eine Ausnahme von dieser Monatsfrist ist nur in gut begründeten Fällen zulässig. Die Auskunft ist im Regelfall unentgeltlich. Werden darüber hinaus weitere Kopien angefordert, kann ein angemessenes Entgelt verlangt werden, welches die Verwaltungskosten deckt. Außerdem kann der Unternehmer im Falle unbegründeter oder exzessiver Anträge einer betroffenen Person, die Auskunftserteilung verweigern. Verantwortliche, die große Datenmengen über die betroffene Person verarbeiten, können zudem von der betroffenen Person verlangen, dass diese ihr Auskunftsrecht hinsichtlich Verarbeitungsvorgänge oder Angaben konkretisiert.

Sie interessieren sich dafür? Alles was Sie tun müssen ist, mit mir in Kontakt treten.