Datenschutzgrundverordnung
Datenschutzgrundverordnung (DSGVO)
Die Europäische Datenschutzgrundverordnung ist seit 2018 die neue Grundlage für den Datenschutz. Sie wird kurz „DSGVO“ oder aus dem englischen „General Data Protection Regulation“ abgeleitet kurz „GDPR“ genannt. Die DSGVO löste den mehr als 20 Jahre alten bisherigen Rechtsrahmen des Datenschutzes ab. Das waren bisher die EU Datenschutzverordnung aus dem Jahre 1995 und die darauf basierenden nationalen Datenschutzgesetze, in Deutschland das BDSG.
Vollharmonisierung und Modernisierung des Datenschutzes in der gesamten Europäischen Union
Ziel der DSGVO ist eine Vollharmonisierung des Datenschutzes in der gesamten Europäischen Union sowie die Stärkung der Rechts- und Marktpositionen europäischer Unternehmen im Verhältnis zum Nicht-EU- Ausland.
Dies bedeutet also, dass die DSGVO für alle Länder der EU ein gleichmäßiges, modernes und hohes Datenschutzniveau als unmittelbar geltendes Recht setzt, so dass Unternehmen künftig im Wesentlichen nur noch eine Rechtsgrundlage beachten müssen und – wenn die Datenschutzvorgaben beispielsweise in Deutschland erreicht sind – keine besonderen Maßnahmen in anderen Ländern der EU ergriffen werden müssen. Ergänzend haben die Mitgliedsstaaten die Möglichkeit, verschiedene Bereiche der Regelungen der DSGVO durch nationale Gesetze zu gestalten, was der deutsche Gesetzgeber durch das Bundesdatenschutzgesetz Neu (BDSG 2018) aufgegriffen hat.
Der zweite wichtige Aspekt der DSGVO ist die Modernisierung des Datenschutzrechts, denn als die Datenschutzgesetze die vor 2018 erlassen wurden, gab es z.B. faktisch keine Verbreitung und Anwendung für das Internet und dementsprechend hatten die bisherigen Gesetze auch keine direkten Antworten für diese Bereiche. Auch wenn die DSGVO direkt auf die aktuelle technische Entwicklung eingeht, ist sie doch weitgehend technikneutral abgefasst, so dass die Grundprinzipien auf die verschiedensten Bereiche der Technik und Kommunikation wirken. Das heißt: Auch die Ablage von personenbezogenen Daten in Papierform unterliegt der DSGVO.
Datenschutzgrundverordnung (DSGVO)
Die DSGVO ist am 24.05.2016 in Kraft getreten und gilt ab dem 25.05.2018, also alle Datenverarbeitungsvorgänge in Bezug auf personenbezogene Daten fallen ab diesem Datum unter das neue Recht. Der Zeitraum dazwischen diente der Vorbereitung und Umsetzung der neuen Regelungen, zum Beispiel durch ergänzende Rechtsakte der EU-Kommission, die die DSGVO konkretisierten.
Die nachfolgenden Folien sind ein erster Einstieg in das Thema und sollen aufzeigen, wo und in welchen Bereichen in Ihrem Unternehmen möglicherweise Handlungsbedarf besteht.
Hinweis: der vorliegende Inhalt stellt weder eine individuelle rechtliche, technische noch eine sonstige fachliche Auskunft oder Empfehlung dar und ist nicht geeignet, eine individuelle Beratung durch fachkundige Personen unter Berücksichtigung der konkreten Umstände des Einzelfalles zu ersetzen.
DSGVO Mindmap
Anwendungsbereich der DSGVO - sachlich und räumlich
Der Anwendungsbereich der DSGVO bezieht sich sachlich auf Datenverarbeitungsvorgänge, die personenbezogene Daten umfassen. Diese Verarbeitungsvorgänge sind dann zutreffend, wenn sie entweder ganz oder teilweise automatisiert erfolgen. Oder sie erfolgen nicht automatisiert, aber die Daten werden auf einem Dateisystem gespeichert. Da mittlerweile fast alle Daten elektronisch erfasst werden, ist der Anwendungsbereich der DSGVO sehr weit zu sehen, praktisch werden alle Datenverarbeitungsvorgänge erfasst.
Der *Anwendungsbereich bezieht sich räumlich künftig einerseits auf Datenverarbeitungsvorgänge von Unternehmen, die Sitz oder Niederlassung in der EU haben, sowie andererseits auf die Person, deren personenbezogene Daten erhoben werden, wenn diese sich in der EU befindet (auf den Wohnsitz in der EU kommt es dabei nicht an) und dieser Person Waren oder Dienstleistungen angeboten werden (Marktortprinzip) oder das Verhalten dieser Person beobachtet wird.
Anwendungsbereich der DSGVO - direkten Gesetzesrang vor nationalen Regelungen
Im Verhältnis zu anderen nationalen Gesetzen hat die DSGVO direkten Gesetzesrang und geht daher im Regelungsbereich des Datenschutzes den nationalen Gesetzen vor, beziehungsweise ersetzt diese. Andere Gesetze, die den Datenschutz nur am Rande betreffen beziehungsweise – wie das IT Sicherheitsgesetz – technisch sichere Ausgestaltungen von IT Infrastrukturen betreffen, bleiben von der DSGVO unberührt, beziehungsweise ergänzen diese, da zum Beispiel Art. 25 DSGVO den Datenschutz durch Technikgestaltung regelt und damit Gesetze, die die Datensicherheit betreffen, mit den Regelungen der DSGVO verknüpft.
Nur für Ausnahmebereiche gibt es nationale Regelungen zum Datenschutz. Das BDSG beinhaltet z.B. den Arbeitnehmerdatenschutz und den Datenschutz für Behörden und Strafverfolgungsbehörden. Hier hat die DSGVO ausdrücklich Raum für nationale Regelungen gelassen.
Eine weitere Ebene der Verbindung zu anderen IT nahen Regelungen ergibt sich unter anderem im Bereich der Zertifizierung, die zur Absicherung von Datenschutzprozessen in der DSGVO eine sehr große Rolle spielt und damit eine Verbindung zum Beispiel zu den Anforderungen der ISO 27001 herstellt, da auch dort Prozesse dokumentiert und geprüft sowie Risiken eingeschätzt und mit Maßnahmen belegt werden, wie es nach der DSGVO zum Beispiel im Rahmen der Datenschutz-Risikoabschätzung gleichfalls erforderlich ist. Hier kann für die Dokumentation der Maßnahmen nach der DSGVO auf die Erfahrungen und Tools der ISO Zertifizierung zurückgegriffen werden.
Grundbegriffe in der DSGVO - Überblick über die wichtigsten Begriffe und deren Bedeutung
Der DSGVO unterliegen nur personenbezogene Daten, die sich auf natürliche Personen beziehen. Allerdings gilt das nicht nur für eindeutig identifizierte Personen, sondern auch für identifizierbare Personen. In anderen Ländern, z.B. Schweiz, können auch auf Unternehmen bezogene Daten besonderen Datenschutzregelungen unterliegen, dies gilt es bei Geschäftstätigkeiten zu beachten.
Identifizierbar ist dabei eine Person, wenn die ursprüngliche Information mit weiteren Informationen verknüpft einen Rückschluss auf die konkrete Person zulässt, wobei dies auch über Daten Dritter erfolgen kann (wie zum Beispiel die IP Adresse, wenn der Datenverarbeiter über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen). Keine personenbezogenen Daten liegen (mehr) vor, wenn die Daten anonymisiert wurden, dass ein (erneuter) Personenbezug nicht mehr möglich ist. Vorübergehend keine personenbezogenen Daten liegen vor, wenn und solange die Daten pseudonymisiert oder verschlüsselt vorliegen. Hier wird erst dann der Personenbezug wiederhergestellt, wenn die Pseudonyme aufgelöst oder die Daten entschlüsselt werden.
Grundbegriffe in der DSGVO - Verletzung des Schutzes personenbezogener Daten
Die DSGVO definiert, wann eine „Verletzung des Schutzes personenbezogener Daten“ vorliegt.
Eine Schutzverletzung liegt dann vor, wenn eine Verletzung der Sicherheit vorliegt, die, unbeabsichtigt oder unrechtmäßig
- zur Vernichtung
- zum Verlust
- zur Veränderung
- zur unbefugten Offenlegung oder
- zum unbefugten Zugang
- personenbezogener Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.
Grundbegriffe in der DSGVO - Besonders geschützte Daten
Die DSGVO definiert ebenfalls besonders geschützter Daten und umfasst insbesondere genetische, biometrische und gesundheitsbezogene Daten, sowie Daten über strafrechtliche Verurteilungen und Straftaten. Besondere Regelungen gelten auch für das Profiling, also für jede Art der automatisierten Verarbeitung personenbezogener Daten, die bestimmte persönliche Aspekte nutzt, um Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel zu analysieren oder vorherzusagen.
Praktische Beispiele für solche besonders geschützten Daten sind:
*Persönliche Merkmale wie ethnische Herkunft, Wohnort, Größe, Gewicht, Augenfarbe, Konfession, Sexualleben und sexuelle Ausrichtung sowie vergleichbare Daten im höchstpersönlichen Lebensbereich des Betroffenen einschließlich Datenformaten, die solche Daten anderer Form wiedergeben, wie zum Beispiel Bilder, Videos,
- Gesundheitsdaten, einschließlich Daten aus der Erbringung von Gesundheitsdienstleistungen und Daten, aus denen auf den Gesundheitszustand des Betroffenen geschlossen werden kann,
- Persönliche Vorlieben wie zum Beispiel Einkaufsverhalten, Zahlungsverhalten, Bonitätsauskünfte (auch solche, die von Dritten bezogen werden),
- Kreditkarten- und Bankinformationen,
- die Fingerabdruckinformation aus entsprechenden Smartphones,
- Geo-Daten wie regelmäßige Aufenthaltsorte, gesuchte und tatsächliche Fahrtziele, Daten aus ortsbasierten Diensten,
- Weltanschauliche Überzeugungen und politische Meinungen sowie Zugehörigkeit zu einer Gewerkschaft (z.B. als Information in Bewerbungen),
- Informationen über Aufenthaltsorte von Personen während der Arbeitszeit.
Soweit besonders geschützte Daten verarbeitet werden, muss für diese Datenverarbeitung eine Datenschutz-Folgenabschätzung durchgeführt werden.
Grundsätze der DSGVO - Die wesentlichen Grundsätze nach Art. 5 für die EU-einheitliche Datenverarbeitung
- Rechtmäßigkeit der Verarbeitung (Gesetz oder Einwilligung),
- Verarbeitung nach Treu und Glauben,
- Transparenz der Datenverarbeitung,
- Zweckbindung der erhobenen Daten,
- Minimierung der erhobenen Daten, also nur notwendige Daten erheben,
- Richtigkeit der Datenverarbeitung und Aktualisierungsanspruch bei Fehlern,
- Speicherbegrenzung, also zeitlich befristete Speicherung von Daten,
- Integrität und Vertraulichkeit der Daten,
- Rechenschaftspflicht des Verantwortlichen gegenüber dem Betroffenen.
- Treu und Glauben
Der Begriff „Treu und Glauben“ in der DSGVO soll solche Situationen erfassen, in denen eine Störung des Kräftegleichgewichts zwischen dem Betroffenen und dem Verantwortlichen besteht und soll verhindern, dass Verarbeitungen ohne Wissen des Betroffenen durchgeführt werden, so dass der Betroffene stets umfassend über die Verarbeitung der auf ihn bezogenen Daten informiert ist und wird.
Grundsätze der DSGVO - Zweckbindung der erhobenen Daten
Die Zweckbindung bedeutet, dass personenbezogene Daten nur für vorher festgelegte, eindeutige und legitime Zwecke erhoben werden dürfen. Sie dürfen darüber hinaus nicht in einer, mit diesen ursprünglichen Zwecken nicht zu vereinbarenden Art und Weise weiterverarbeitet werden. Dabei müssen die Zwecke der Datenverarbeitung im Zeitpunkt der Erhebung der Daten festgelegt werden und die Zwecke müssen ausreichend bestimmt und angemessen sein.
Eine nachträgliche Zweckänderung kommt nur auf Grundlage einer gesonderten Rechtsgrundlage oder einer weiteren Einwilligung des Betroffenen in Betracht.
Grundsätze der DSGVO - Transparenzregelungen, Integrität und Vertraulichkeit
Das in der DSGVO als Grundprinzip eingeführte Transparenzgebot führt dazu, dass die verantwortliche Stelle jederzeit umfassende Informationen an die betroffene Person geben können muss, welche Daten durch wen und zu welchen Zwecken verarbeitet wurden oder werden. Zur Sicherstellung der Integrität und Vertraulichkeit der erhobenen und verarbeiteten Daten sind darüber hinaus technische und organisatorische Maßnahmen zu ergreifen, die eine unbefugte oder unrechtmäßige Verarbeitung oder Verlust/Zerstörung ausschließen.
Aus beiden Grundsätzen wird abgeleitet, dass Prozesse für den Zugriff auf die Daten und Bewegungen der Daten innerhalb und außerhalb der verarbeitenden Stelle eingerichtet und deren Einhaltung überwacht werden muss. Die DSGVO konkretisiert diese Grundsätze durch die Regelungen zu Datenschutz durch Technik, datenschutzfreundliche Voreinstellungen sowie Zertifizierungsverfahren, etc. Der Betroffene kann sich jederzeit über Inhalt, Umfang und Reichweite sowie die Sicherheit der Datenverarbeitung informieren. Und durchgängig ist eine hohe Sicherheit der personenbezogenen Daten gewährleistet.
Pflichten unter der DSGVO
Dokumentation von Prozessen -> Verfahrensverzeichnis
Durch die Rechenschaftspflicht des Art. 5 Abs. 2 DSGVO werden der verantwortlichen Stelle auferlegt, die Grundsätze der DSGVO einzuhalten und die Einhaltung auch zu dokumentieren.
Die Prozesse des Datenschutzes sind daher – auch zu Nachweiszwecken gegenüber den Aufsichtsbehörden – zu dokumentieren. Ab einer Unternehmensgröße von 250 Mitarbeitern ist die Führung eines formellen Verzeichnisses der Verarbeitungstätigkeiten (Verfahrensverzeichnis) unabhängig von der Art der verarbeiteten Daten vorgeschrieben. Aber auch bei kleineren Unternehmen ist dann ein Verfahrensverzeichnis vorgeschrieben, wenn besonders geschützte Daten verarbeitet werden.
Pflichten unter der DSGVO - Datenschutz-Folgenabschätzung
Hat eine Form der Datenverarbeitung aufgrund
- der Verwendung neuer Technologien,
- aufgrund der Art, des Umfangs, der Umstände und
- der Zwecke der Verarbeitung
- voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge,
so muss der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchführen. Die DSGVO sieht grundsätzlich vor, dass die Aufsichtsbehörden eine entsprechende Liste veröffentlichen können, die positiv die Fälle beschreibt, in denen die Folgenabschätzung notwendig ist. Die Prüfung erfolgt jeweils individuell.
Allgemein ist aber davon auszugehen, dass die systematische Bewertung persönlicher Aspekte natürlicher Personen (z.B. im Rahmen von Kredit-Scorings) sowie die optoelektronische Bilddatenerfassung stets eine Datenschutz-Folgenabschätzung erfordern. Darüber hinaus ist die Folgenabschätzung erforderlich, wenn zum Beispiel das Risiko eines Identitätsdiebstahls oder -betrugs oder die Offenlegung von Gesundheitsdaten im Rahmen der Verarbeitung durch Dritte, die nicht selbst Berufsgeheimnisträger sind, besteht.
Pflichten unter der DSGVO - Auftrags(daten)verarbeitung
- In der Auftragsdatenverarbeitung ändern sich Bezeichnungen, Verantwortungen und die notwendigen Vereinbarungen. Die neue Bezeichnung ist jetzt „Auftragsverarbeitung“ der Auftragnehmer wird zum „Auftragsverarbeiter“ und die bisherigen Auftragsdatenverarbeitungsvereinbarungen sind neu zu fassen sein, wobei seitens der Aufsichtsbehörden hier wieder Muster veröffentlicht werden. Insbesondere die Struktur der Anforderungen an die bisherigen technischen und organisatorischen Maßnahmen wird sich ändern und sich am neuen Verfahrensverzeichnis orientieren.
Wesentliche Dinge zum Einhalten
- Konkreter Gegenstand der Verarbeitung
- Kontrolle der Beauftragten in der Dienstleisterkette
- Effektive Kooperation bei Betroffenenrechten und Datenpannen
- Angemessene und wirksame sowie nachweisbare und überprüfbare TOMs
Verstöße gegen die DSGVO
Bußgeld Art. 83 (5) lit. c: EUR 20 Mio. oder bis zu 4 % des Umsatzes
Rechtsunsicherheit
Die DS-GVO enthält viele unbestimmte Rechtsbegriffe, deren konkrete Bedeutung in den kommenden Jahren erst durch die Fachliteratur, die deutschen und europäischen Aufsichtsbehörden und die nationalen Gerichte sowie den EuGH definiert und ausgelegt werden müssen.
Ob das neue BDSG einer Prüfung durch den EuGH standhält ist aktuell zumindest teilweise fraglich. Die konkreten Regelungen zum Beschäftigtendatenschutz dürften aber unkritisch sein.
Der Datenschutzbeauftragte
„Augen zu und durch“ funktioniert nicht „Die EU-DSGVO gilt für Unternehmen mit Sitz oder Niederlassungen in der EU und gibt vor, wie personenbezogene Daten durch definierte Prozesse und technische Maßnahmen geschützt werden müssen“.
Angesichts der zahlreichen Änderungen und gerichtlichen Modifikationen des Datenschutzes werden Unternehmen kontrolliert. „Die Sanktionen sind schmerzhaft und können bis zu 20 Mio. Euro oder 4 Prozent des weltweiten Gesamtumsatzes betragen, je nach Kategorie der personenbezogenen Daten.
Auch wer glaubt, er könnte nach Anzeige eines Verstoßes und der Ankündigung einer Kontrolle noch Korrekturen vornehmen, der irrt. „Alle Rechte der DSGVO können binnen kurzer Frist ausgeübt werden, so dass faktisch ,nachträgliche‘ Dokumentationen oder Änderungen unmöglich sind“.
Der DSB empfiehlt ein mehrstufiges Vorgehensmodell:
- Schritt für Schritt zur DSGVO-Compliance
- Grundsteine legen: Management sensibilisieren,
- Leitfäden und Auslegungshilfen nutzen
- Schwerpunkte definieren
- Ein DSGVO-Projekt aufsetzen und entsprechende Ressourcen zuordnen
Der Datenschutzbeauftragte empfiehlt und betreut
Bestandsaufnahme durchführen: Prozesse der Datenverarbeitung untersuchen, die bestehenden Compliance-Maßnahmen identifizieren und Veränderungen bei den Datenverarbeitungs-aktivitäten verfolgen.
Analyse & Ableitung von Handlungsnotwendigkeiten: die gesammelten Informationen systematisieren und auswerten. Dabei sollte auf vorhandenen Verfahren und Instrumenten aufgebaut werden. Schwachstellen müssen identifiziert und Spielräume ausgelotet werden. Schließlich muss ein Projektplan mit Abhilfemaßnahmen aufgesetzt werden.
Umsetzung: Neue Richtlinien und Aufsichtsstrukturen einführen, sowie notwendige technische Änderungen vornehmen. Wichtig ist dabei, dass bei der Umsetzung die verfahrensmäßigen DSGVO-Vorgaben eingehalten werden. Deshalb müssen Verantwortlichkeiten neu zugeordnet und Mitarbeiter geschult werden.
Feinschliff: Optimalerweise werden jetzt Maßnahmen mit geringerer Priorität realisiert und ein Reaktionsplan für zukünftige Änderungen aufgestellt.
Überwachung: DSGVO-Compliance konsequent überwachen. Schulungsprogramme etablieren, Leitlinien ausarbeiten und nationale Ausnahmeregelungen und deren Folgen beobachten.