Schulung Datenschutz (DSGVO)
Warum jetzt auf einmal Datenschutz ?
Datenschutz schützt die Rechte und Freiheiten der betroffenen Personen und das sind wir alle.
Datenschutz ist nicht nur der Schutz der Daten vor Verlust und unberechtigtem Zugriff. Dies wären Informations-, IT- oder Datensicherheit, die technische Sicht auf den Datenschutz.
Die DSGVO schützt uns ?
Den Umgang mit personenbezogenen Daten in Unternehmen und öffentlichen Stellen regelt der Gesetzgeber über die DSGVO (Verordnung (EU) 2016/679). Die DatenSchutzGrundVerOrdnug tratt am 27. April 2016 mit einer Übergangszeit von zwei Jahren in Kraft. Ab 28. April 2018 gilt die DSGVO EU-weit.
- Die DSGVO gilt nur für Unternehmen und Behörden, die in der EU ansässig sind oder
- wenn Daten von EU-Bürgern verarbeitet werden, gilt sie auch für nicht in der EU ansässige Unternehmen.
- Die DSGVO gilt z.B. auch für Amazon, Facebook, Google, etc.
Die DSGVO gilt laut Art. 3 DSGVO immer, wenn ...
- der Verantwortliche oder Auftragsverarbeiter seine Niederlassung in der EU hat, unabhängig davon, ob die Verarbeitung innerhalb der EU stattfindet, oder
- personenbezogene Daten von EU-Bürgern verarbeitete werden, die im Zusammenhang mit dem Absatz von Waren oder Dienstleistungen stehen, oder
- das in der EU stattfindende Verhalten der betroffenen Person beobachtet wird.
Zusätzlich gelten Gesetze der Mitgliedsstaaten, welche die Regelungsräume der DSGVO füllen, für den entsprechenden Mitgliedsstaat. Beispiel: Das neue Bundesdatenschutzgesetz für Deutschland (BDSG)
Die DSGVO gilt im gesamten Europäischer Wirtschaftsraum
- Der EWR besteht aus der Europäische Union und der EFTA (Island, Liechtenstein, Norwegen)
- Die EU-Mitgliedstaaten sind Belgien, Bulgarien, Dänemark, Deutschland, Estland, Finnland, Frankreich, Griechenland, Irland, Italien, Kroatien, Lettland, Litauen, Luxemburg, Malta, Niederlande, Österreich, Polen, Portugal, Rumänien, Schweden, Slowakei, Slowenien, Spanien, Tschechien, Ungarn, Vereinigtes Königreich, Republik Zypern
Die Schweiz hat eine Sonderrolle im EWR, gehört aber "pragmatisch" dazu.
Weitere Erläuterungen zum Thema vom Europäischen Parlament
Wer ist verantwortlich für die Einhaltung des Datenschutzes im Unternehmen, Konzern oder beim Bäcker um die Ecke ?
Der Verantwortliche im Unternehmen ist die Geschäftsführung in der Person des Geschäftsführers = Der Verantwortliche
Dann jede Person, die Zugriff auf personenbezogene Daten hat.
Auftragsverarbeiter, die personenbezogene Daten im Auftrag
des Verantwortlichen
verarbeitenWenn dies als eine Kette betrachtet wird, sind alle Beteiligten gemeinsam Verantwortlich. (gem. Art. 26 DSGVo)
Werden personenbezogene Daten jedoch im ausschließlich persönlichen oder familiären Umfeld verarbeitet, gibt es keine verantwortliche Stelle (Art. 2 Abs. 2 lit. c DSGVO)
Was sind denn nun personenbezogene Daten ?
Personenbezogene Daten
sind alle Informationen über eine identifizierte oder identifizierbare lebende, natürliche Person. Die DSGVO nennt diese in Art. 4 Nr. 1 die „betroffene Person“. Art. 4 Abs. 1 DSGVO: alle Informationen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität der natürlichen Person sind.
z.B. Adresse, Telefonnummer, Geburtsdatum, Foto, E-Mail-Adresse, Arbeitgeber, Personalnummer, Gehalt, Vermögen, Besitz, Urlaubsplanung, Arbeitsverhalten, Arbeitsergebnisse, Kfz-Kennzeichen, Gesundheitsinformationen und anderes.
Alles Informationen, die eine Person sofort identifizieren können oder durch Verknüpfung von Daten identifizierbar machen. Darunter fallen alle Daten, die die Person, deren Verhalten oder Lebensumstände beschreiben.
Gilt natürlich nur für lebende natürliche Personen. Verstorbene Personen können keine Verletzung ihrer Rechte und Freiheiten mehr erleiden. Und juristische Personen sind auch nicht betroffen!
Sind alle Daten gleich ?
Sind | alle | Menschen | gleich ? |
---|---|---|---|
Daten über die rassische und ethnische Herkunft | Daten über politische Meinungen | Daten über religiöse oder weltanschauliche Überzeugungen | Daten über die Gewerkschafts-zugehörigkeit |
Genetischen Daten | Biometrischen Daten | Gesundheitsdaten | Daten zum Sexualleben oder der sexuellen Orientierung |
Diese besonderen Kategorien | personenbezogener Daten | unterliegen noch strengeren | Verarbeitungs-grundsätzen (Art. 9 DSGVO)! |
- ausdrücklicher Einwilligung
- erforderlicher Verarbeitung im Rahmen von Arbeits- und Sozialrecht
- Schutz lebenswichtiger Interessen
- Verarbeitung einer politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichteten Stiftung, Vereinigung oder sonstigen Organisation ohne Gewinnerzielungsabsicht
- Veröffentlichung der Daten durch die betroffene Person selbst
- Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
- erheblichem öffentliches Interesse
- erforderlicher Verarbeitung fürs Gesundheitswesen
- oder für wissenschaftliche, historische und Archivzwecke
Fettnapf: Politische Meinungen in der Kunden-Software festgehalten "Der Außendienstmitarbeiter weiß, wie der Einkäufer politisch denkt; Fettnäpfchen vor oder nach der Wahl vermeiden. UND JEDER DER ZUGRIFF HAT; WEISS ES JETZT AUCH!"
Unabhängig davon, ob es gut für den Außendienstmitarbeiter ist, die politische Meinung des Einkäufers zu kennen, ist die Speicherung solcher Daten aufgrund der strengen Verarbeitungsregeln nicht mit der DSGVO in Einklang zu bringen. Eine explizite und schriftliche Einwilligung für diese Information ist vom Einkäufer erforderlich.
Fettnapf: Religiöse Überzeugungen in der Tabellenkalkulation zum Sommerfest: Mit Namensnennung in der Auflistung "Unsere muslimischen Mitarbeiter (oder Kunden) benötigen besondere Speisen bei Kundenveranstaltungen"
Alternativ ohne personenbezogene Daten besonderer Kategorien: Kennzeichen "Schweinefleisch: ja/nein“. "Vegan/Vegetarisch Ja/Nein", "Fisch Ja/Nein", usw.
Fettnapf: Krankmeldungen, „Der Kollege hat Fieber und liegt im Bett.“. Optimal ist der Transport solcher Nachrichten von der Personalabteilung zum Abteilungsleiter zu den Kollegen am Arbeitsplatz, begleitet von Infos, wie "Ja, Ja, es ist Montag".
Wir menscheln ja gerne. Aber, simple Krankmeldung ohne irgendwelche Begleitinformationen reicht und ist rechtlich sauber.
Was bedeutet ist Verarbeitung?
- Verarbeitung personenbezogener Daten umfasst Erheben, Erfassen, Organisation, Ordnen, Speicherung, Anpassung oder Veränderung personenbezogener Daten, sowie deren Auslesen, Abfragen, Verwendung, Offenlegung durch Übermittlung, Verbreitung, andere Formen der Bereit-stellung, Abgleich oder Verknüpfung (Art. 4 Nr. 2 DSGVO)
- Dies betrifft alle personenbezogenen Daten, gleich, ob sie automatisiert (unter Zuhilfenahme von IT) verarbeitet werden oder manuell. Alle Formen der Verarbeitung, ob unter Zuhilfenahme von IT oder manuell auf Papier fallen hierunter, sofern die Daten geordnet verarbeitet werden. Daher gehört die Visitenkartenkartei (alphabetisch sortiert) ebenfalls dazu.
- Sie umfasst auch die Einschränkung der Verarbeitung, das Löschen oder das Vernichten von Daten. „Einschränkung der Verarbeitung“ ist die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken. (Art. 4 Nr. 3 DSGVO)
Wie dürfen personenbezogene Daten verarbeitet werden ?
- Die DSGVO ist ein Gesetz mit Erlaubnisvorbehalt!
- Die Verarbeitung ist grundsätzlich verboten, es sei denn die Verarbeitung ist ausdrücklich gesetzlich erlaubt oder angeordnet oder die betroffene Person hat in die Verarbeitung eingewilligt. Nationale Regelungen dürfen EU-Recht nicht minimieren.
- Nationales Recht kann die Verarbeitung erlauben, z.B. Finanzamt, Arbeitsamt, Rente, etc.
- Art. 88 DSGVO in Verbindung mit § 26 BDSG erlaubt die Verarbeitung der Beschäftigtendaten. Denk an dein Gehalt!
- zur Anbahnung, zur Durchführung oder zur Beendigung des Beschäftigungsverhältnisses
- zur Ausübung oder Erfüllung der Rechte und Pflichten der Interessenvertretung der Beschäftigten
- zur Aufdeckung von Straftaten (unter strengen Voraussetzungen)
Ganz wichtiger Punkt
Sofern die Daten nicht zur Anbahnung, Durchführung oder Beendigung des Beschäftigungsverhältnisses dienen oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung, siehe Erwägungsgrund 155) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist, ist deren Verarbeitung rechtswidrig. Es sei denn, eine andere Rechtsvorschrift erlaubt die Verarbeitung oder ordnet diese an.
Kollektivvereinbarungen: Gibt es z.B. für die betriebliche Altersversorgung eine Betriebsvereinbarung oder für die Datenverarbeitung bei der Nutzung des SAP-Systems (Benutzerprofile, Protokollierung …)? Ist die Verarbeitung rechtswidrig, müssen die Daten umgehend gelöscht werden.
Art. 6 Abs. 1 DSGVO: Die Verarbeitung ist nur rechtmäßig, wenn
- eine Einwilligung der betroffenen Person vorliegt, siehe lit. a
- die Verarbeitung erforderlich ist für:
- die Erfüllung eines Vertrages mit der betroffenen Person oder dessen Anbahnung, siehe lit. b
- die Erfüllung rechtlichen Verpflichtung des Verantwortlichen, siehe lit. c
- den Schutz von lebenswichtigen Interessen, siehe lit. d
- die Wahrnehmung von Aufgaben im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt, siehe lit. e
- die Wahrung berechtigter Interessen des Verantwortlichen bei Interessenabwägung, siehe lit. f.
Bedeutet: Berechtigte Interessen der betroffenen Person müssen beachtet und gegen die des Verantwortlichen abgewogen werden. Die Abwägung ist zu dokumentieren und das Ergebnis muss der betroffenen Person im Rahmen der Informationspflichten mitgeteilt werden.
Zu lit. c und e sind nationale Regelungen / Spezifizierungen, wie Gesetze erlaubt. Diese dürfen EU-Recht nicht minimieren. Stehen sie im Konflikt zur DSGVO, sind sie unwirksam.
Ich will aber einwilligen! Was sind Einwilligungen ?
Unterschied zwischen
Einwilligung = vorherige Zustimmung UND Genehmigung = nachträgliche Zustimmung
Wichtig bei der Verarbeitung personenbezogener Daten gibt es KEINE Genehmigung!
Die Einwilligung muss aktiv erfolgen! Stillschweigende Zustimmung oder bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person stellen keine Einwilligung dar. (siehe auch Erwägungsgrund 32)
Art. 7 DSGVO und zugehörige Erwägungsgründe sehen Folgendes vor:
- Sie erfolgt immer vor der Verarbeitung
- Sie erfolgt immer freiwillig
- Sie gilt für einen konkreten Fall und sollte nicht mit anderen Einwilligungen gekoppelt werden
- Sie muss für die einwilligende Person klar und verständlich formuliert sein
- Sie muss den Zweck der beabsichtigten Datenverarbeitung erkennen lassen
- In unterschiedliche Verarbeitungszwecke ist jeweils einzeln einzuwilligen
- Die Widerrufsmöglichkeit muss der einwilligenden Person vor der Einwilligung mitgeteilt werden
- Sie muss aktiv durch eine eindeutige Handlung erfolgen. (Opt-in)
Der Verantwortliche muss die Einwilligung nachweisen können
- Eine mündliche Vereinbarung ist praktisch ausgeschlossen.
Und was ist mit Kindern ?
Soll ein Kind bei einem Angebot von Diensten der Informationsgesellschaft einwilligen, muss dieses das sechzehnte Lebensjahr vollendet haben (Artikel 8 Abs. 1 Satz 1 DSGVO). Ansonsten ist die Einwilligung vom Träger der elterlichen Verantwortung abzugeben.
Grundsätze bei der Verarbeitung
Gem. Art. 5 DSGVO gelten bei der Verarbeitung folgende Grundsätze (Erwägungsgrund 39)
Die Verarbeitung personenbezogener Daten MUSS immer diesen Grundsätzen genügen:
- Rechtmäßigkeit – die Erlaubnis zur Verarbeitung ist gegeben (Art. 6 DSGVO)
- Verarbeitung nach Treu und Glauben ist ein unbestimmter Rechtsbegriff der Rechtswissenschaft und bezeichnet das Verhalten eines redlich und anständig handelnden Menschen.
- Transparenz – sollte gegenüber der betroffenen Person dahingehend bestehen, dass sie betreffende personenbezogene Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden und in welchem Umfang die personenbezogenen Daten verarbeitet werden und künftig noch verarbeitet werden.
- Zweckbindung – Was haben wir möglicherweise noch mit den Daten vor? „Insbesondere sollten die bestimmten Zwecke, zu denen die personenbezogenen Daten verarbeitet werden, eindeutig und rechtmäßig sein und zum Zeitpunkt der Erhebung der personenbezogenen Daten feststehen.“
- Datenminimierung – personenbezogene Daten sollen auf das für die Zwecke ihrer Verarbeitung notwendige Maß beschränkt sein.
- Richtigkeit – alle vertretbaren Schritte sollten unternommen werden, um unrichtige Daten zu korrigieren oder zu löschen.
- Speicherbegrenzung – Dies erfordert insbesondere, dass die Speicherfrist für personenbezogene Daten auf das unbedingt erforderliche Mindestmaß beschränkt bleibt. Löschfristen sollen festgelegt werden oder aber zumindest regelmäßige Überprüfungsfristen.
- Integrität und Vertraulichkeit – Sicherheit und Vertraulichkeit sind hinreichend zu gewährleisten.
- Rechenschaftspflicht des Verantwortlichen – die Einhaltung der o. g. Grundsätze muss nachweisbar sein = Dokumentationspflichten.
Welche Rechte haben betroffene Personen ?
Recht auf transparente Information und Kommunikation in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache (Art. 12 Abs. 1 Satz 1 DSGVO)
Recht auf Auskunft darüber, welche Daten wie und wozu verarbeitet werden, woher sie stammen und wohin sie übermittelt, ebenso, sofern möglich, wie lange diese Daten voraussichtlich verarbeitet werden (Art. 15 Abs. 1 DSGVO)
Recht auf Berichtigung falscher Daten (Art. 16 DSGVO)
Recht auf Löschung entspricht „Recht auf Vergessenwerden“ (Art. 17 DSGVO)
Recht auf Einschränkung (Art. 18 DSGVO)
Es gilt jedoch: Sofern die Verarbeitung nicht mehr erforderlich ist (z. B. zur Vertragserfüllung, auf Grund gesetzlicher Vorgaben). Falls die betroffene Person die Einwilligung widerruft oder Widerspruch einlegt. Falls die personenbezogenen Daten unrechtmäßig verarbeitet wurden. Falls die Löschung zur Erfüllung einer rechtlichen Verpflichtung nach Unionsrecht erforderlich ist. Alle Empfänger der Daten müssen ebenfalls darüber informiert werden.
Einschränkung: Verbot der Weiterverarbeitung bei weiterer, erlaubter Speicherung.
Erfolgt durch entsprechende Sperrkennzeichen bei den personenbezogenen Daten.
Wird angewendet, wenn eine Löschung nicht möglich ist. Siehe dazu Art. 18 Abs. 1 DSGVO
Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
Recht auf Datenübertragbarkeit aller Daten, die die betroffene Person dem Verantwortlichen zur Verfügung gestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format (Art. 20 DSGVO)
Recht auf nicht ausschließlich automatisierte Entscheidungen (Art. 22 DSGVO)
Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 Abs. 1 DSGVO)
Recht den Datenschutzbeauftragten zu konsultieren (Art. 38 Abs. 4 DSGVO)
- Besonders erwähnt in Art. 21 Abs. 2 DSGVO ist der Widerspruch gegen Direktwerbung und dem dazugehörigen Profiling. Beispiel: Die Lebensversicherung. Die betroffene Person hat eine Lebensversicherung bei der „Ich versichere alles AG“. Diese vertreibt aber auch Haftpflicht-, Kfz-, Wohngebäude- und Glasbruchversicherungen. Als Versicherungsnehmer in einem Vertragsverhältnis erhält die betroffene Person regelmäßig Werbung von der „Ich versichere alles AG“. Dieser Werbung kann widersprochen werden, die Daten zur Vertragserfüllung werden weiterhin verarbeitet.
Welche Pflichten hat der Verantwortliche?
Artikel 13 und 14 DSGVO regeln die umfangreichen Informationspflichten des Verantwortlichen
Er muss gegenüber der betroffenen Person mit folgendem nachkommen. Hierzu gehört dass er mitteilt:
- Name und Kontaktdaten des Verantwortlichen, ggfs. seines Vertreters
- Die Kontaktdaten des Datenschutzbeauftragten
- Die Verarbeitungszwecke
- Die Rechtsgrundlage der Verarbeitung
- Die berechtigten Interessen des Verantwortlichen, sofern eine Interessensabwägung stattfand
- Die Empfänger der Daten, insbesondere wenn sie in Drittstaaten ansässig sind
- Die voraussichtliche Speicherdauer. Wenn die Dauer nicht konkret benannt werden kann, muss dargelegt werden, unter welchen Kriterien man zu diesem Schluss gekommen ist.
- Hinweis auf das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und die Datenübertragbarkeit
- Hinweis auf die Widerrufbarkeit der Einwilligung, sofern die Einwilligung die Rechtsgrundlage ist.
- Das Bestehen eines Beschwerderechtes bei einer Aufsichtsbehörde
- Ob die Bereitstellung der personenbezogene Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist.
- Ob die betroffene Person zur Bereitstellung der Daten verpflichtet ist und welche Folgen die Nichtbereitstellung hätte
- Bei automatisierter Entscheidungsfindung/Profiling, die Logik und die Auswirkungen
- Bei geplanter Zweckänderung muss vor der Weiterverarbeitung der neue Zweck mitgeteilt werden.
- Werden die Daten nicht unmittelbar bei der betroffenen Person erhoben, muss auch die Datenquelle genannt werden.
- Um die Vollständigkeit der Vielzahl der Informationen sicherstellen zu können, müssen dringend Prozesse zur Information der betroffenen Person etabliert sein/werden.
Nicht erfüllte Dokumentationspflichten sind bußgeldbewehrt.
Verzeichnis von Verarbeitungstätigkeiten
- Es ist schriftlich oder elektronisch zu führen.
- Es ist der Aufsichtsbehörde auf Verlangen zur Verfügung zu stellen.
- Es gibt Ausnahmen für Unternehmen mit weniger als 250 Beschäftigten sowie Ausnahmen von den Ausnahmen.
Nachweis der technisch organisatorischen Maßnahmen (TOM)
- Es gilt sowohl den Nachweis zu erbringen, dass und welche technisch organisatorischen Maßnahmen ergriffen sind, als auch ob diese wirksam sind und regelmäßig auf ihre Wirksamkeit hin überprüft werden.
Benennung eines Datenschutzbeauftragten gem. Art. 37 DSGVO
- Gilt für Behörden oder öffentlichen Stellen und bei risikobehafteten Kerntätigkeiten des Verantwortlichen.
- Gilt auch, wenn die Mitgliedsstaaten gem. Art. 37 Abs. 4 Satz 1 Halbsatz 2 DSGVO weitere Pflichten zur Benennung festlegen, wie in § 38 BDSG:
- min. 20 Personen mit der regelmäßigen automatisierten Verarbeitung personenbezogener Daten betraut sind, oder
- Verarbeitungen erfolgen, die der Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen, oder
- personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.
Risikobehaftete Kerntätigkeiten sind z.B. Tätigkeiten mit umfangreicher und systematischer Überwachung von betroffenen Personen. Wann jedoch ist die Kerntätigkeit umfangreich, regelmäßig und systematisch? Hierzu werden in den nächsten Jahren sicher viele Urteile gefällt werden.
- Sicher ist sicher: Besser einen Datenschutzbeauftragten bestellen.
Der Verantwortliche oder der Auftragsverarbeiter, müssen, sofern ein Datenschutzbeauftragter bestellt ist, dessen Kontaktdaten veröffentlichen (z. B. Webseite) und der zuständigen Aufsichtsbehörde melden.
- Art. 37 Abs. 5 DSGVO: Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 DSGVO genannten Aufgaben.
- Der Datenschutzbeauftragte kann interner Mitarbeiter oder externer Dienstleister sein.
- Die Aufgaben des Datenschutzbeauftragten sind:
- Unterrichtung und Beratung des Verantwortlichen
- Sensibilisierung der Beschäftigten
- Überwachung
- der Einhaltung der DSGVO und anderer Datenschutzvorschriften
- der Strategien des Verantwortlichen für den Schutz personenbezogener Daten
- der Zuweisung von Zuständigkeiten,
- der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter
- der diesbezüglichen Überprüfungen
- der Durchführung der Datenschutz-Folgenabschätzung (gem. Art 35 DSGVO)
- Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung
- Zusammenarbeit mit der Aufsichtsbehörde
- Konsultation der Aufsichtsbehörde nach Art. 36 DSGVO bei Verarbeitungen mit hohem Risiko, welches nicht eingedämmt werden kann.
Der Verantwortliche stellt Folgendes sicher:
- Der Datenschutzbeauftragte wird ordnungsgemäß und frühzeitig in alle mit dem Datenschutz zusammenhängenden Fragen eingebunden.
- erhält die notwendigen Ressourcen und Zugänge zur Durchführung seiner Aufgaben, sowie zur Aufrechterhaltung seines Fachwissen.
- ist in der Ausübung seiner Tätigkeit weisungsfrei.
- darf aufgrund seiner Aufgaben nicht abberufen (entlassen) oder benachteiligt werden.
- berichtet an die höchste Managementebene.
- Der Datenschutzbeauftragte ist zur Verschwiegenheit verpflichtet und so können sich alle vertrauensvoll an Sie wenden!
Was ist eine Datenschutz-Folgen-abschätzung? (Data Protection Impact Assessment)
1 | 2 | 3 |
---|---|---|
Birgt die Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen, muss der Verantwortliche eine Daten-schutz-Folgenabschätzung gem. Art. 35 DSGVO durchführen. | Die Datenschutz-Folgenabschätzung muss eine Vielzahl von Informationen berücksichtigen und entsprechend dokumentiert werden. | Der Rat des Datenschutzbeauftragten wird zur Datenschutz-Folgenabschätzung eingeholt. |
Die Datenschutz-Folgenabschätzung ist nicht NICE-TO-HAVE, sondern MUST-HAVE, wenn eine der Bedingungen vorliegt.
Sie bewertet die Risiken für die betroffene Person, nicht die Risiken für die verarbeitende Organisation!
Sie muss durchgeführt werden wenn:
- eine umfassende und systematische Bewertung von natürlichen Personen aus automatisierter Verarbeitung, auch Profiling, erfolgt, die Rechtswirkungen gegenüber diesen Personen entfalten;
- eine umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten oder personenbezogener Daten über strafrechtliche Verurteilungen oder Straftaten erfolgt;
- eine systematische Überwachung öffentlich zugänglicher Bereiche erfolgt;
- Verfahren durchgeführt werden, welche von der Aufsichtsbehörde auf veröffentlichten Listen zur Datenschutz-Folgenabschätzung bestimmt sind.
Die systematische Überwachung umfasst z. B. die Videoüberwachung. Erw.Gr. 91 nennt explizit „opto-elektronische Vorrichtungen“ Die Aufsichtsbehörde erstellt und führt eine Liste der Verarbeitungsarten. Dies können Black- oder White-Listen sein. Solange diese nicht vorliegen, muss der Verantwortliche, in Persona wahrscheinlich der Datenschutzbeauftragte, ggf. in Abstimmung mit der Aufsichtsbehörde entscheiden, ob eine Verarbeitung der Datenschutz-Folgenabschätzung unterliegt.
Was muss technisch sichergestellt werden? Data protection by design
Gem. Art. 24 + 25 DSGVO ist der Verantwortliche verpflichtet, geeignete technische und organisatorische Maßnahmen gemäß dem Stand der Technik zu ergreifen, um die Ausführung der Vorschriften der DSGVO zu gewährleisten. Die DSGVO verpflichtet zum Stand der Technik – immer unter Berücksichtigung der Angemessenheit.
Ziel ist die Sicherstellung von Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten und der Belastbarkeit der Systeme und Dienste (Art. 32 Abs. 1 lit. b DSGVO), sowie rascher Wiederherstellung (Art. 32 Abs. 1 lit. c DSGVO).
Sinnvoll sind die Pseudonymisierung und Verschlüsselung personenbezogener Daten (Art. 32 Abs. 1 lit. a DSGVO). Die Maßnahmen zum Schutz der Rechte der betroffenen Person müssen angemessen sein. Explizit erwähnt wird die Pseudonymisierung. Der Umfang der Maßnahmen kann nach oben durch die Höhe der Implementierungskosten beschränkt sein.
Von den Aufsichtsbehörden genehmigte Verhaltensregeln oder Zertifizierungsverfahren helfen beim Nachweis der Erfüllung der Pflichten. Verhaltensregeln könnten z. B. Corporate Binding Rules eines Konzerns oder Verbandes sein. Zertifizierungsverfahren sind z. B. Datenschutzsiegel o. ä.
Pseudonymisierung ist die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden (Art. 4 Nr. 5 DSGVO).
Geeignete Garantien durch B C R - Artikel 47 DSGVO
- Verbindliche interne Datenschutzvorschriften können eine ausreichende Garantie für den internationalen Datentransfer innerhalb einer multinationalen Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, bilden.
- Gruppenmitglieder legen eine globale Datenschutzpolitik (gruppeninterner Datenschutzstandard) in Bezug auf die internationale Datenübermittlung an Gruppenmittglieder in Drittländern ohne angemessenes Datenschutzniveau fest.
- Rechtlich bindend für alle Mitglieder der Unternehmensgruppe.
- Betroffenen Personen müssen ausdrücklich durchsetzbare Rechte in Bezug auf die Verarbeitung personenbezogener Daten übertragen werden.
- Genehmigung der verbindlichen internen Datenschutzvorschriften durch die zuständige Aufsichtsbehörde.
- Datenverarbeitungsvorgängen bei denen personenbezogene Daten ins Ausland übertragen werden, ist besondere Aufmerksamkeit zu schenken.
- Eine Übertragung von personenbezogen Daten in ein Drittland ist nur zulässig, wenn ein Angemessenheitsbeschluss existiert, geeignete Garantien vorliegen oder eine sonstige Ausnahme vorliegt.
- Ggf. ist eine doppelte Absicherung zu erwägen, z.B. Vereinbarung von Standartvertragsklauseln mit Geschäftspartnern in Großbritannien (Brexit).
Was muss technisch sichergestellt werden ? Data protection by default
Der Verantwortliche stellt durch geeignete technische und organisatorische Maßnahmen sicher, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden (Art. 25 Abs. 2 Satz 1 DSGVO).
Diese Verpflichtung gilt für
- die Menge der erhobenen personenbezogenen Daten,
- den Umfang ihrer Verarbeitung,
- ihre Speicherfrist und
- ihre Zugänglichkeit.
Auch Voreistellungen müssen datenschutzfreundlich gestaltet werden. So dürfen unter der Voreinstellung nur die minimalen Datenmengen erhoben und verarbeitet werden Die Speicherdauer ist ebenfalls auf das Minimum zu begrenzen, wie der Zugriff durch andere Personen. Die ist besonders spannend im Social Media Umfeld. Man denke an die Facebook Partys mit tausenden Besuchern, nur weil vergessen wurde den Eintrag auf privat zu setzen. Das soll von der DSGVO unterbunden werden.
Was ist zu tun, wenn ein Dritter für mich verarbeitet ?
- Lässt der Verantwortliche die Verarbeitung von personenbezogenen Daten weisungsgebunden ausführen, nennt man dies Auftragsverarbeitung.
- Art. 28 DSGVO regelt die Grundlagen für eine gesetzeskonforme Auftragsverarbeitung.
- Die Verarbeitung durch einen Auftragsverarbeiter, der gemäß Art. 4 Nr. 10 DSGVO eben nicht Dritter ist, erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten.
Wann muss ich was melden ?
Eine Verletzungen des Schutzes personen-bezogener Daten muss der Aufsichtsbehörde innerhalb von 72 Stunden und ggf. der betroffenen Person gemeldet werden. | Sie liegt vor, wenn unbeabsichtigt oder unrechtmäßig, personenbezogene Daten vernichtet, verändert, unbefugt offengelegt werden oder verloren gehen (Art. 4 Nr. 12 DSGVO). | Regelungen zur Vorgehensweise enthalten Art. 33 + 34 DSGVO. |
- Jedwede Verletzung des Schutzes personenbezogener Daten ist kritisch – bei jeder Form der Verarbeitung (Erheben, Speichern, Übermitteln, …)
- Verletzungen des Schutzes personenbezogener Daten bergen nahezu immer ein Risiko für die betroffene Person. wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person. (Erw.Gr.85)
- Die Frist von 72 Stunden erfordert auch an dieser Stelle funktionierende Prozesse in den Fachbereichen, besonders in der IT. Liegen nicht alle Informationen gleichzeitig vor, kann die Meldung schrittweise erfolgen.
- Zusätzlich zur Meldung an die Aufsichtsbehörde ist die betroffene Person zu informieren, wenn ein hohes Risiko für die Rechte und Freiheiten der betroffene Person besteht.
- Ein wichtiger Schutz, besonders bei mobilen Datenträgern, ist eine dem Stand der Technik entsprechende Verschlüsselung. Geschieht eine Verletzung verschlüsselter Daten, ist diese nicht meldepflichtig, da kein Risiko für die Rechte und Freiheiten der betroffenen Person besteht.
Wie teuer sind Verstöße?
Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein (Art. 83 Abs. 1 DSGVO)
Neben der Anordnung von Maßnahmen kann die Aufsichtsbehörde Bußgelder verhängen:
Geldbußen von bis zu 20.000.000 EUR oder von bis zu 4% des gesamten weltweit erzielten Vorjahresumsatzes, je nachdem, welcher der Beträge höher ist.
Last Order