Das Datenschutzrecht in Deutschland wird wesentlich von der Datenschutz-Grundverordnung (DSGVO) und vom Bundesdatenschutzgesetz (BDSG) bestimmt. Dabei gilt die DSGVO seit dem 25. Mai 2018 und für die gesamte EU, während das BDSG als nationales Recht ausschließlich für Deutschland Anwendung findet. Im Vergleich beider Datenschutzgesetze ist die europäische Datenschutz-Grundverordnung vorrangig. Das nationale Bundesdatenschutzgesetz findet insbesondere bei sogenannten Öffnungsklauseln Anwendung. Dies sind Normen in der DSGVO, die auf die Regelungen des nationalen Gesetzgebers (in Deutschland das BDSG) verweisen. In Zukunft wird das Datenschutzrecht von weiteren Richtlinien und Verordnungen (z.B. ePrivacy-Verordnung) komplettiert.
EU-DSGVO – Fragen und Antworten
Die europäische Datenschutz-Grundverordnung (englisch General Data Protection Regulation bzw. GDPR) hat seit Inkrafttreten etliche Fragen aufgeworfen. Nachfolgend finden Sie Antworten auf grundlegende Themen in Zusammenhang mit der DSGVO.
Die Datenschutz-Grundverordnung enthält viele Anforderungen über die Art der Erfassung, Aufbewahrung und Nutzung persönlicher Informationen. Dies beinhaltet nicht nur, wie persönliche Daten in den Systemen erkannt und geschützt werden, sondern auch wie neue Transparenzanforderungen eingebunden, Verstöße gegen persönliche Daten erkannt und gemeldet sowie Datenschutzpersonal und -mitarbeiter geschult werden. Angesichts der enormen Bedeutung sollten Unternehmen mit den Vorbereitungen nicht warten, sondern jetzt mit der Prüfung der Vorgehensweisen beim Datenschutz und bei der Datenverwaltung beginnen. Verstöße gegen die Datenschutz-Grundverordnung werden mit „abschreckenden“ Sanktionen bestraft.
Die Datenschutz-Grundverordnung gewährleistet natürlichen Personen einen Katalog von Betroffenenrechten, wodurch die Kontrolle über ihre personenbezogenen Daten gewährleistet wird. Dies umfasst folgende Rechte:
- Zugriff auf leicht zugängliche und klare sowie verständliche Informationen über die Art der Nutzung personenbezogener Daten
- Zugriff auf personenbezogene Daten
- Löschung oder Korrektur fehlerhafter personenbezogener Daten
- unter bestimmten Umständen Richtigstellung und Löschung personenbezogener Daten (so genanntes „Recht auf Vergessenwerden“)
- Einschränkung der Verarbeitung und Widerspruch gegen Verarbeitung personenbezogener Daten
- Erhalt einer Kopie personenbezogener Daten
- Widerspruch gegen die Verarbeitung von Daten für bestimmte Nutzungsarten, wie etwa Marketing oder Profilerstellung
- Verpflichtung der Organisationen, Datenlecks innerhalb von 72 Stunden an die zuständigen Behörden zu melden
Personenbezogene Daten sind alle Informationen, die sich auf eine bestimmte oder bestimmbare Person beziehen. Es gibt keinen Unterschied zwischen privaten, öffentlichen oder beruflichen Rollen einer Person. Persönliche Daten umfassen zum Beispiel:
- Name
- E-Mail-Adresse
- Social-Media-Beiträge
- Physische, physiologische oder genetische Informationen
- Medizinische Informationen
- Ort
- Bankdetails
- IP-Adresse
- Cookies
- Kulturelle Identität
Wenn Unternehmen bestimmte Anforderungen der Datenschutz-Grundverordnung nicht einhalten, können sie Strafen von bis zu 20 Millionen Euro oder 4 Prozent des jährlichen weltweiten Umsatzes erhalten – je nachdem, was höher ist.
Es gibt Ankündigungen, dass die Cloud Dienste zum Inkrafttreten der DSGVO Rechtskonformität gewährleisten. Dazu sind Sie gesetzlich verpflichtet.
Die Datenschutz-Grundverordnung gilt für die verantwortliche Stelle und für
Auftragsverarbeiter. Die verantwortliche Stelle bleibt für die Datenverarbeiter verantwortlich, auch wenn ein Auftragsverarbeiter eingesetzt wird. Verantwortliche dürfen nur mit Auftragsverarbeitern zusammen arbeiten, die geeignete Maßnahmen ergreifen, um die Anforderungen der Datenschutz-Grundverordnung zu erfüllen. Der Verantwortliche bestimmt, welche und wie personenbezogene Daten verarbeitet werden, während der Auftragsverarbeiter die Vorgänge im Auftrag des Verantwortlichen ausführt, ohne eigene Entscheidungen zu treffen.
Unter der Datenschutz-Grundverordnung haben die Auftragsverarbeiter zusätzliche Pflichten auferlegt bekommen und haften bei fehlender Einhaltung. Die Pflichten eines Auftragsverarbeiters sind u.a.:
- Verarbeiten von Daten gemäß Anweisung
- Verwenden geeigneter technischer und organisatorischer Maßnahmen zur Verarbeitung personenbezogener Daten
- Löschen oder Zurücksenden der Daten an den Verantwortlichen
- Sicherstellen der Berechtigung bei Kontakt mit anderen Auftragsverarbeitern
Nein, ein Datenschutzbeaufragter muss nur unter bestimmten Voraussetzungen benannt werden. Diese Faktoren werden von der DSGVO nicht abschließend bestimmt, sondern richten sich auch nach nationalem Recht (in Deutschland dem BDSG).
Falls das Unternehmen einen Datenschutzbeauftragten ernennen muss, ist dieser verantwortlich für die Information der Mitarbeiter über ihre Compliance-Pflichten sowie für die Durchführung der Überwachung, Schulung und Prüfungen, die gemäß der Datenschutz-Grundverordnung erforderlich sind.
Die Datenschutz-Grundverordnung ändert die Datenschutzanforderungen und verwendet strengere Verpflichtungen für Auftragsverarbeiter und der verantwortlichen Stelle im Hinblick auf Benachrichtigungen bei Verstößen gegen das Persönlichkeitsrecht des Betroffenen, die zu einer Gefährdung der individuellen Rechte und Freiheit führen können. Unter der neuen Verordnung muss der Auftragsverarbeiter der verantwortlichen Stelle unverzüglich über einen Verstoß benachrichtigen, sobald er davon erfährt. Sobald er einen Verstoß zur Kenntnis nimmt, muss die verantwortliche Stelle die zuständige Datenschutzbehörde innerhalb von 72 Stunden benachrichtigen. Falls der Verstoß ein hohes Risiko für die Rechte und Freiheit von Einzelpersonen darstellt, muss der Verantwortliche zudem unverzüglich die betroffenen Einzelpersonen verständigen.
Die Einhaltung der Datenschutz-Grundverordnung kostet den meisten Organisationen Zeit und Geld. Die Umstellung dürfte jedoch reibungsloser für Unternehmen ablaufen, die einen gut strukturierten Plan, ein gutes Datenschutz-Management und ein wirksames Programm zur Datenkontrolle haben.
BDSG – Fragen und Antworten
Grundsätzlich ist das Bundesdatenschutzgesetz nur anwendbar, wenn kein europäisches Recht unmittelbar gilt. In diesem Fall ist das Gesetz für die Verarbeitung personenbezogener Daten von öffentlichen sowie für nicht-öffentliche Stellen (z.B. Unternehmen) anwendbar, wenn
- das Unternehmen personenbezogene Daten im Inland verarbeitet
- die Verarbeitung von einer inländischen Niederlassung erfolgt
- der Anwendungsbereich der DSGVO eröffnet ist
Das Bundesdatenschutzgesetz konkretisiert, dass nicht-öffentliche Stellen einen Datenschutzbeaufragten bestellen müssen, wenn sie mindestens 10 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigten.
Außerdem muss ein Datenschutzbeaufragter bestellt werden, wenn eines folgender Kriterien erfüllt ist:
- es handelt sich um eine öffentliche Stelle
- die Unternehmenstätigkeit macht eine umfangreiche regelmäßige oder systematische Überwachung erforderlich
- es werden besondere Kategorien personenbezogener Daten oder personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten verarbeitet
Nach dem BDSG ist eine Videoüberwachung von öffentlich zugänglichen Räumen zulässig, wenn die Videoüberwachung erforderlich ist z.B. zur Aufgabenerfüllung öffentlicher Stellen, zur Wahrung des Hausrechts oder zur Wahrung anderer berechtigter Interessen. Wichtig ist auch, dass keine schutzwürdigen Interessen der Betroffenen überwiegen. Danach ist z.B. die Videoüberwachung in Umkleidekabinen unzulässig, weil das Persönlichkeitsrecht eines potenziell Betroffenen überwiegt.
Weiterhin muss der Betroffene auf die Videoüberwachung aufmerksam gemacht werden. Die Videoaufzeichnungen sind unverzüglich zu löschen, sobald der Zweck erreicht wurde. Man geht von einer Löschfrist von 72h aus.
Einer besonderen Bedeutung im BDSG kommt dem Beschäftigtendatenschutz zu Gute. Danach ist die Verarbeitung von Beschäftigtendaten grundsätzlich verboten, außer einer der folgenden Erlaubnistatbestände wird erfüllt:
- Die Verarbeitung ist zur Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich.
- Die Verarbeitung ist zur Erfüllung eines Gesetzes oder einer Kollektivvereinbarung erforderlich.
- Die Verarbeitung dient der Aufdeckung von Straftaten.
Neu ist im Bundesdatenschutzgesetz auch der Umstand, dass ein Beschäftigter gegenüber seinem Arbeitgeber grundsätzlich eine Einwilligung abgeben kann. Die Einwilligung ist allerdings nur unter bestimmten Umständen freiwillig und damit rechtswirksam (u.a. der Beschäftigte und der Arbeitgeber haben gleichgelagerte Interessen).