Bildschirmfoto 2017-10-12 um 12.30.53
info4dsb

Datenschutz geht jeden an!

icast
Datenschutz: Basisinformationen

Das Grundgesetz gewährleistet jeder Bürgerin und jedem Bürger das Recht, über Verwendung und Preisgabe seiner persönlichen Daten zu bestimmen. Geschützt werden also nicht Daten, sondern die Freiheit der Menschen, selbst zu entscheiden, wer was wann und bei welcher Gelegenheit über sie weiß. [Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit]

Datenschutz garantiert jedem Bürger Schutz vor missbräuchlicher Datenverarbeitung, das Recht auf informationelle Selbstbestimmung und den Schutz der Privatsphäre. Ob in der Wirtschaft oder über die Behörden des Staates, alle sammeln mit großer Leidenschaft unser personenbezogenen Daten und gefährden damit unser Grundrecht auf informationelle Selbstbestimmung.


In der Wirtschaft stellen Daten heute einen elementaren Erfolgsfaktor und Unternehmenswert dar. Im Rahmen der Digitalisierung rückt die Verarbeitung von Daten - insbesondere von personenbezogenen Daten -  immer mehr ins Zentrum der Wertschöpfungsketten.


Wir kommunizieren online und tätigen unsere Bankgeschäfte, Behördenangelegenheiten, Vertragsabschlüsse und Einkäufe per Internet. Die Unternehmen wiederum sammeln diese Daten und optimieren damit ihre Prozesse und Produkte. Die anfallenden Datenmengen wachsen ständig, was technisch gesehen kein Problem ist, doch damit wachsen auch die Missbrauchsrisiken. Die Anforderungen an die Rechtmäßigkeit der Daten (Datenschutz) und die Sicherheit der Verarbeitungsprozesse (Datensicherheit) steigen damit stetig.


Gesetze wie das Bundesdatenschutzgesetz (BDSG) bzw. die ab 25.05.2018 wirkende EU Datenschutz-Grundverordnung (DS-GVO) und weiter ergänzende Gesetze (bzgl.Telekommunikation, Telemedien usw.) sollen den erforderlichen Schutz der personenbezogenen Daten sicherstellen.

Datenschutz-Aufsichtsbehörden in Bund und Ländern und die bestellten betrieblichen oder externen Datenschutz- beauftragten der Unternehmen und Behörden stellen auf dieser gesetzlichen Basis den Schutz von personenbezogenen Daten sicher.

Die aktuellen Änderungsprozesse bezüglich der Gesetzeslage vereinfachen die Übersichtlichkeit in den Regelungen des Datenschutzes derzeit nicht. Man kann leicht den Überblick verlieren, wenn man jetzt nicht am Ball bleibt.

Auch wenn sich viele beruflich drum kümmern - Datenschutz geht jeden an!

Der Verlust an informationeller Selbstbestimmung ist heute gleichbedeutend mit dem Verlust an Freiheit.


(Der folgenden Erläuterungen beziehen sich auf die neue EU Datenschutz-Grundverordnung und nicht auf das noch geltende BDSG.)

Datenschutz: Basisinformationen

Nach Art.4 Nr.1 der DS-GVO handelt es sich bei personenbezogenen Daten um:  „alle Informationen die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden betroffene Person) beziehen“

Als besondere Kategorien personenbezogener Daten bezeichnet man Daten aus denen:

- rassische oder ethnische Herkunft,

- Gesundheitsdaten,

- Daten der sexuellen Orientierung,

- politische Meinungen,

- religiöse oder weltanschauliche Überzeugungen

- natürlicher Personen hervorgehen.

Weiterhin gehören dazu genetische und biometrische Daten, die zur eindeutigen Identifizierung natürlicher Personen führen.

(siehe Art.9 Nr. 1 DS-GVO)


Identifizierbar ist nach Art.4 Nr.1 der DS-GVO eine natürliche Person, wenn sie “direkt oder indirekt“ identifiziert werden kann. Als Beispiele nennt der Art.4 Nr.1 insbesondere die Zuordnung einer Person:

- zu einer Kennung wie einem Namen,

- zu einer Kennnummer,

- zu Standortdaten,

- zu einer Online-Kennung oder

- zu einem oder mehreren besonderen Merkmalen, die Ausdruck ihrer physischen, physiologischen, genetischen,

      psychischen, wirtschaftlichen, kulturellen oder sozialen Identität der natürlichen Person sind.

Personenbezogene Daten

Verarbeitung personenbezogener Daten

Die Verarbeitung besonderer Kategorien personenbezogener Daten ist grundsätzlich untersagt (Art.9 Nr. 1 DS-GVO) .

außer unter anderem:

- eindeutige zweckgebunden Einwilligung der betr. Person

- Schutz lebenswichtiger Interessen betroffenen Person

- Daten wurden von betr. Person öffentlich gemacht

- für justizielle Tätigkeit von Gerichten erforderlich

- erhebliches öffentliches Interesse

Die Ausnahmen sind in Art.9 Nr. 2 DS-GVO im Detail geregelt.

Der Begriff Verarbeitung wird in Art.4 Nr.2 der DS-GVO definiert. Es handelt sich dabei um jeden mit oder ohne Hilfe automatisierter  Verfahren ausgeführten Vorgang im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, die Verwendung, die Weitergabe durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.


Der Begriff Verarbeitung meint sämtliche Formen des Umgangs mit personenbezogenen Daten von der Erhebung bis zur endgültigen Vernichtung.

Die Intensität oder Dauer der Verarbeitung, als auch die dazu eingesetzte Technik sind dabei unerheblich. Das heißt, auch die ggf. nur kurzzeitige Verwendung weniger, scheinbar unbedeutender personenbezogener Daten, fällt grundsätzlich unter den Anwendungsbereich der DS-GVO.

Was bedeutet "Verarbeitung personenbezogener Daten"?

Grundsätze des Datenschutzrechts

Die Datenschutz-Grundverordnung schreibt im Wesentlichen die bisherigen datenschutzrechtlichen Grundprinzipien fort und entwickelt sie weiter:

- Verbot mit Erlaubnisvorbehalt

- Datenvermeidung und Datensparsamkeit

- Gewährleistung der Datensicherheit

- Zweckbindung

- Transparenz

Adressaten der EU Datenschutz-Grundverordnung

Die DS-GVO nutzt zur Klassifizierung möglicher Akteure der Verarbeitung personenbezogener Daten vier Rollen.

                                                „betroffene Personen“ (Art.4 Nr.1)

                                                „Verantwortlicher“ (Art.4 Nr.7)

                                                „Auftragsverarbeiter“ (Art.4 Nr.8)

                                                sonstige „Dritte“ (Art.4 Nr.10)

Dabei ist die Rolle des Unternehmens von der konkreten Verarbeitungssituation  abhängig, in der es tätig ist.

Primärer Adressat der Datenschutz-Grundverordnung ist der “Verantwortliche“.

Der Verantwortliche ist der zentrale Anknüpfungspunkt von Rechten und Pflichten bei der Verarbeitung personenbezogener Daten. Verantwortlicher ist nach DS-GVO Art.4 Nr.7 diejenige „natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.“

Verantwortlicher ist, wer die Hoheit über Zwecke und Mittel der Verarbeitung personenbezogener Daten hat.

In der betrieblichen Praxis ist Verantwortlicher jedoch i.d.R. das Unternehmen und nicht die jeweils handelnde natürliche Person.

Auch innerhalb von Unternehmensgruppen stellt die Datenübermittlung untereinander zu eigenen Zwecken grds. die Übermittlung von Daten durch einen Verantwortlichen dar. Die DS-GVO kennt grundsätzlich kein Konzernprivileg.

Rolle "Verantwortlicher"

Rolle "Auftragsverarbeiter"

Als Auftragsverarbeiter wird nach Art.4 Nr.8 „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle“ bezeichnet, „die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“.

Entscheidendes Kriterium der Abgrenzung zum Verantwortlichen ist die Weisungsgebundenheit des Auftragsverarbeiters und die Entscheidungshoheit des ihn beauftragenden Verantwortlichen über die Zwecke und (wesentlichen) Mittel der Verarbeitung.

Im Rahmen der DS-GVO gilt das Verbot der Verarbeitung personenbezogener Daten mit Erlaubnisvorbehalt.

Ob die Verarbeitung personenbezogener Daten rechtmäßig ist oder nicht, hängt vom Vorliegen eines entsprechenden Erlaubnistatbestands ab.

                                       a) Einwilligung der betroffenen Person (Art.6 Abs.1 lit. a; Art.8; Art.9 Abs.2)

                                                              oder

                                       b) gesetzlicher Erlaubnistatbestand  (Art.6 Abs.1 lit. b bis f; Art.9 Abs.2b)

Zulässigkeit der Verarbeitung - Rechtfertigung

Zulässigkeit der Verarbeitung - Einwilligung der betroffenen Person

Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben. Die Bedingungen für die Einwilligung der betroffenen Person sind in Art.7 geregelt. Die Einwilligung kann schriftlich oder elektronisch erfolgen.  Der Verantwortliche trägt die Beweislast für das Vorliegen der Einwilligung.

Es ist eine freiwillige, informierte und unmissverständliche Willensbekundung der betroffenen Person für die Einwilligung in die Verarbeitung personen-bezogener Daten erforderlich (Art.4 Nr.11)

Zulässigkeit der Verarbeitung - gesetzlicher Erlaubnistatbestände

Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist,

   oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

b) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

c) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen

   natürlichen Person zu schützen;

d) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt

   oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

e) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich,

   sofern nicht die Interessen oder Grundrechte u. Grundfreiheiten der betroffenen Person, die den Schutz

   personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person

   um ein Kind handelt.

Die Rechte der betroffenen Person sind in Kapitel III der Datenschutz-Grundverordnung geregelt. Dabei stehen der betroffenen Person alle Rechte  ausschließlich gegenüber dem Verantwortlichen zu. Gegenüber dem Auftragsverarbeiter kann die betroffene Person ihre Rechte nicht geltend machen.

Die DS-GVO differenziert zwischen drei wesentlichen Elementen, die dem Schutz der betroffenen Personen dienen:

(1) Transparenz der Verarbeitung

(2) Ordnungsgemäßheit der Verarbeitung

(3) Beschränkung möglicher Verarbeitung

Rechte der betroffenen Person

Rechte der betroffenen Person - Transparenz der Verarbeitung

Rechte der betroffenen Person:

(1) Informationspflichten des Verantwortlichen (Art.13,14)

(2) Auskunftsrecht der betroffenen Person (Art.15)

    (Grundlage für vollumfängliche Ausübung des Rechts auf informationelle Selbstbestimmung)

(3) Mitteilungspflichten des Verantwortlichen aus Art.19 im Zusammenhang mit der Ausübung von Betroffenenrecht

Rechte der betroffenen Person - Ordnungsgemäßheit der Verarbeitung

Rechte der betroffenen Person:

(1) Recht auf Berichtigung aus Art.16

(2) Recht auf Löschung aus Art.17 einschließlich dem Recht auf Vergessenwerden

(3) Recht auf Einschränkung der Verarbeitung aus Art.18 (vgl. BDSG „Sperrung“)

(4) Recht auf Datenübertragbarkeit Art.20 ff. (Recht betroffener Personen personenbezogene Daten von einem

    Verantwortlichen zu erhalten und an einen anderen Verantwortlichen zu übertragen (z.B. bei Providerwechsel)

Rechte der betroffenen Person - Beschränkung möglicher Verarbeitung

Rechte der betroffenen Person:

(1) Widerspruchsrecht aus Art.21 (Widerspruchsrecht bei Direktwerbung, bei Verarbeitung zu

    wissenschaftlichen, historischen oder statistischen Zwecken)

(2) Regulierung auf automatisierter Verarbeitung beruhender Entscheidungen einschließlich Profiling durch Art.22