Datenschutz Basics
von Sandra Hoffmann (Kommentare: 0)
Wer sich mit dem Thema Datenschutz auseinandersetzen muss, ist oftmals in der Zwickmühle, dass beispielsweise viele Informationen online vorhanden sind, diese jedoch kein einheitliches Bild ergeben. Man wird mit Begriffen konfrontiert, die sich weder zuordnen oder gar in einen gemeinsamen Kontext bringen lassen. Da die Thematik sehr weitläufig ist und sowohl den Bereich der Rechtsberatung als auch die IT-Sicherheit streifen, ist der Umgang zusätzlich erschwert. Wir möchten Ihnen einen groben Ausschnitt zu den Basics des Datenschutzes darstellen. Dieser soll Ihnen einen Einblick verschaffen, Begriffe auch für Laien erklären und Sie zudem bei Ihrer Umsetzungspflicht unterstützen.
Was ist und beinhaltet "Datenschutz"?
Datenschutz beschreibt den Schutz von personenbezogenen Daten. Der Datenschutz geht davon aus, dass die Datenverarbeitung Auswirkungen auf die Wahrung der Rechte und Freiheiten der Personen, die von diesen Daten beschrieben werden, hat. Deswegen werden die Menschen, die von personenbezogenen Daten beschrieben werden, im Datenschutz „Betroffene“ genannt, deren Daten durch den „Verantwortlichen“ verarbeitet werden. Der „Verantwortliche“ ist z. B. eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die für die Datenverarbeitung verantwortlich ist. In den meisten Unternehmen ist dies die Geschäftsführung.
Datenschutz bleibt auf die Betrachtung der Verarbeitung von personenbezogen Daten beschränkt, und schließt nicht etwa die Verarbeitung von Unternehmensgeheimnissen oder sonstigen schützenswerten Daten mit ein. Auch findet der Datenschutz keine Anwendung bei ausschließlich persönlichen oder familiären Tätigkeiten. Unter personenbezogenen Daten sind all jene Daten zu verstehen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Hierunter fallen z. B. Name, Adresse, Hautfarbe, Geschlecht, aber auch IP-Adresse u. Ä..
In der Bundesrepublik Deutschland ist der Datenschutz bereits seit Ende der 70er Jahre etabliert und wurde über das Bundesdatenschutzgesetzt (BDSG) geregelt. Mit Einführung der EU-Datenschutzgrundverordnung (DSGVO) am 25.05.2018 wurde der Datenschutz europaweit vereinheitlicht. Die europäischen Mitgliedsstaaten haben aufgrund sogenannter Öffnungsklauseln in der DSGVO die Möglichkeit, Regelungen und Vorgaben zu spezifizieren. In Deutschland finden sich diese erweiterten Gesetzesvorgaben zum Beispiel im neuen Bundesdatenschutzgesetz (BDSG-neu), in den jeweiligen Landesdatenschutzgesetzen, aber z. B. auch im Telekommunikationsgesetz (TKG) und dem Telemediengesetz (TMG), um nur zwei Beispiele zu nennen.
Der Datenschutz muss, unabhängig von der Bestellpflicht eines Datenschutzbeauftragten (DSB), von jedem Unternehmen umgesetzt werden. Je nach Firma sind unterschiedliche Datenschutz-Themen zu bearbeiten, da sich unternehmensspezifische Herausforderungen ergeben. Unabhängig davon, ist der Datenschutz in den Basisbereichen seitens der Firmen generell zu regeln und der Verantwortliche hat eine Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO. Das bedeutet, dass die Umsetzung und Unterlagen vorab im Unternehmen vorliegen müssen.
Zu den sogenannten Datenschutz-Basics gehören nachfolgend Themengebiete, die durch den Verantwortlichen umzusetzen sind:
- Bestellpflicht eines Datenschutzbeauftragten (§ 38 BDSG-neu)
- Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO)
- Risikoanalyse / Datenschutzfolgenabschätzung (DSFA) (Art. 35 DSGVO)
- Technisch-organisatorische Maßnahmen (TOM) (Art. 32 DSGVO)
- Notfallkonzept / Berechtigungskonzept / Löschkonzept
- Verträge zur Auftragsverarbeitung (AV-Verträge) (Art. 28 DSGVO)
- Verträge zur gemeinsamen Verarbeitung (Art. 26 DSGVO)
- Betroffenenrechte und Betroffenenanfragen (Artt. 12 - 23 DSGVO)
- Verstöße / Datenpannen
- Schulung bzw. Sensibilisierung der Mitarbeiter
- Weitere Themen wie z. B. Homepage & Soziale Medien, Umgang mit Bewerbungen, E-Mail-Nutzung, Homeoffice, Einwilligungen, Datenweitergaben in Drittländer (z. B. USA)
Auf die Schwerpunktthemen wird im Folgenden kurz eingegangen und versucht, mit einfachen Worten zu erläutern, was diese bedeuten und welche Tätigkeiten erforderlich sind.
Grundprinzipien des Datenschutzes
Die nachfolgenden Prinzipien bilden u. A. die Basis des Datenschutzes und erläutern kurz, wie mit personenbezogenen Daten umzugehen ist und auf welche Weise diese verarbeitet werden dürfen. Sie sind in der gesamten DSGVO, teilweise versteckt, wiederzufinden und unterschiedliche Verpflichtungen leiten sich aus diesen ab.
Zweckbindung
Daten dürfen nur für den Zweck, für den sie erhoben werden, verwendet werden.
Erforderlichkeit
Erhobene Daten müssen für diesen Zweck erforderlich sein.
Es dürfen nicht schon im Voraus und auf "Verdacht“ Daten erhoben werden.
Datenminimierung
Wenn ein Zweck durch weniger Daten erreicht werden kann, dann sollten weniger Daten erhoben und verarbeitet werden.
Wenn Daten nicht mehr gebraucht werden, müssen Sie gelöscht werden.
Richtigkeit
Fehler in den Datensätzen müssen behoben werden.
Vertraulichkeit
Daten müssen vertraulich behandelt werden und dürfen nicht an Unbefugte weitergegeben werden.
Transparenz
Betroffene müssen über die Erhebung und Verarbeitung ihrer Daten Kenntnis erhalten, um Widerspruch und andere Rechte ausüben zu können.
Rechenschaft
Verarbeiter sind über den Umgang mit Daten Auskunft und Rechenschaft schuldig – z. B. der Aufsichtsbehörde.
Rechtmäßigkeit der Verarbeitung (Art. 6 DSGVO)
Personenbezogene Daten dürfen ausschließlich aufgrund einer Rechtsgrundlage verarbeitet werden. Ohne diese ist eine Verarbeitung nicht zulässig. Standardmäßig werden personenbezogene Daten auf Basis nachfolgender Rechtsgrundlagen verarbeitet:
Hinsichtlich der Rechtmäßigkeit ist ebenfalls zu berücksichtigen, dass Kinder und Jugendliche erst ab einem Alter von 16 Jahren selbst über die Verarbeitung ihrer personenbezogenen Daten entscheiden dürfen.
Einwilligung
Die betroffene Person hat ihre Einwilligung zu der Verarbeitung ihrer Daten für einen oder mehrere bestimmte Zwecke gegeben.
Bei der Einholung einer Einwilligung sind wichtige Inhalte zu beachten:
- Eine Einwilligung muss immer freiwillig erteilt werden.
- Der Verantwortliche benötigt einen Nachweis der Einwilligung.
- Eine schriftliche Einwilligung muss verständlich und in leicht zugänglicher Form und in einer klaren, einfachen Sprache erfolgen.
- Eine Einwilligung kann jederzeit widerrufen werden. Hiervon muss die betroffene Person vorab in Kenntnis gesetzt werden. Zudem muss der Widerruf so einfach möglich sein, wie das Erteilen der Einwilligung.
Vertrag / Anfrage
Personenbezogene Daten dürfen im Rahmen einer Vertragsanbahnung bzw. Anfrage oder für die Erfüllung eines Vertrages verarbeitet werden.
Gesetzliche Vorschrift
Die Datenverarbeitung ist ebenfalls zulässig, wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung notwendig ist, also ein Gesetz dies vorschreibt. Dies ist z. B. bei Sozialgesetzen oder Steuergesetzen der Fall. Auch in diesem Fall dürfen ausschließlich die hierfür relevanten Daten verarbeitet werden.
Berechtigte Interessen
Rechtmäßig ist die Verarbeitung, sofern sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich sind.
Eine Datenverarbeitung mit dem sogenannten berechtigten Interesse zu begründen, ist seit Einführung der DSGVO sehr komplex und nicht einfach. Denn in diesem Fall ist immer zu prüfen, ob die Interessen oder Grundrechte der betroffenen Person überwiegen. Hierdurch muss das berechtigte Interesse immer benannt werden und eine Güterabwägung erfolgen. Beispielhaft kann man hierfür die Nutzeranalyse auf Webseiten nennen, die früher immer mit dem berechtigten Interesse begründet wurde. Wird diese z. B. mit Google Analytics durchgeführt, muss eine Interessenabwägung erfolgen. Bei dieser ist festzustellen, dass auch mit Hilfe eines „milderen Mittels“ eine Analyse möglich wäre, wodurch die Rechtsgrundlage entfällt und auf die Einwilligung zurückgegriffen werden muss. Bei dem Analyse-Tool von Google kommen weitere Datenschutzaspekte hinzu, die hier jetzt nicht erläutert werden, jedoch ebenfalls das berechtigte Interesse zwischenzeitlich ausschließen.
Lebenswichtige Interessen (des Betroffenen)
Eine Datenverarbeitung ist auch immer dann zulässig, wenn es gilt lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen. So dürfen Sie beispielsweise nach Kontaktdaten einer verletzten Person bei einem Unfall suchen und diese verwenden, wenn es gilt, der Person zu helfen oder Schaden von einer anderen Person abzuwenden.
Auch bei Verarbeitungen mittels einer Rechtsgrundlage gelten immer die zuvor erläuterten Grundprinzipien, unter denen die Daten verarbeitet werden dürfen.
Verzeichnis der Verarbeitungstätigkeit (Art. 30 DSGVO)
Das Verzeichnis der Verarbeitungstätigkeit stellt sozusagen das Basis-Dokument des Datenschutzes in einem Unternehmen dar. Es dient zur Auskunft an Betroffene, ist erforderlich für die Risikoabschätzung bzw. Datenschutzfolgenabschätzung (DSFA) und ggfs. auch die Grundlage für ein Datenschutz-Audit.
In diesem Verzeichnis wird jede Tätigkeit, bei der Sie personenbezogene Daten verarbeiten dokumentiert. Unter „verarbeiten“ wird jeder Umgang mit personenbezogenen Daten verstanden: erheben, speichern, nutzen oder auch löschen, um nur einige zu nennen.
Sie dokumentieren jeden Prozess bzgl. personenbezogener Daten. Hier wird erfasst, zu welchem Zweck, aufgrund welcher (Rechts-)Grundlage und für welche Dauer die Daten verarbeitet werden. Ebenfalls geht aus dem Dokument hervor, welche Software Sie nutzen, ob die Daten an einen Dritten weitergegeben werden und wann Sie diese löschen.
Auf dieser Grundlage bauen sich alle weiteren Bereiche des Datenschutzes auf, da die nächsten Schritte aus diesen Unterlagen hervorgehen und abgeleitet werden können. Das Verzeichnis ist sowohl als Verantwortlicher als auch als Auftragsverarbeiter zu führen.
Risikoanalyse
Für jedes sogenannte Verfahren muss eine Risikoanalyse erfolgen, bei der geprüft wird, wie hoch die Eintrittswahrscheinlichkeit für eine Datenpanne ist. Dies erfolgt mit Hilfe der Schutzbedarfsklassen, aus denen hervorgeht, wie Schützens würdig die personenbezogenen Daten sind. Die grobe Einschätzung vorab erfolgt bereits bei der Erstellung der Verzeichnisse der Verarbeitungstätigkeit. Hier werden die jeweiligen Prozesse bereits durch den Verantwortlichen eingestuft und grob bewertet.
Datenschutz-Folgenabschätzung (DSFA) (Art. 35 DSGVO)
Je nach Ergebnis der Risikobewertung der einzelnen Prozesse, ist für diese eine sogenannte Datenschutzfolgenabschätzung (DSFA) erforderlich. Diese ist ein Instrument zur Beschreibung, Bewertung und Eindämmung von Risiken bei der Verarbeitung von personenbezogenen Daten.
Zusätzlich gibt es in der Datenschutzgrundverordnung diverse Verarbeitungstätigkeiten, die eine DSFA gesetzlich vorschreiben. Hinzu kommt, dass die Behörden in Deutschland für gewisse Verarbeitungstätigkeiten ebenfalls eine DSFA vorschreiben. Hierfür wurden spezifische Listen, sogenannte „Blacklisten“ veröffentlicht.
Sowohl die Risikobewertung als auch die Datenschutzfolgenabschätzung sind bei Datenpannen im Unternehmen relevant und werden oftmals bei Vorfällen durchgeführt.
Technisch-organisatorische Maßnahmen (Art. 32 DSGVO)
Hinsichtlich der personenbezogenen Daten sind Sie als Verantwortlicher verpflichtet, die erforderliche Sicherheit für diese zu gewährleisten. Dies wird mit Hilfe sogenannter technisch-organisatorischer Maßnahmen umgesetzt, bei denen es sich um Strukturen und Regeln hinsichtlich des Zugangs zu Daten handelt.
Diese Maßnahmen können über eine organisatorische Umsetzung erfolgen, wie z. B. eine Dienstanweisung der Mitarbeiter, dass diese zum Feierabend ihre Schränke abzuschließen haben und der PC ausgeschaltet werden muss. Eine technische Umsetzung kann z. B. durch die Nutzung von Videokameras im Serverraum erfolgen oder durch die automatische Bildschirmsperre an den Rechnern der Mitarbeiter, sobald diese ihren Arbeitsplatz längere Zeit verlassen.
Zweck der technisch-organisatorischen Maßnahmen ist es, den Zugang zu personenbezogenen Daten zu regeln und vor allem den Zugriff durch unbefugte Dritte zu verhindern. Der Vorteil von gut etablierten technisch-organisatorischen Maßnahmen ist, dass Ihr Unternehmen hierbei automatisch Betriebsgeheimnisse u. ä. zusätzlich schützt.
Berechtigungs- / Löschkonzept & Notfallplan
Zu den technisch-organisatorischen Maßnahmen gehört ebenfalls die Erstellung eines Berechtigungs- und Löschkonzeptes. Beide lassen sich mit Hilfe des Verzeichnisses der Verarbeitungstätigkeiten erstellen, da sowohl die Zugriffsberechtigung auf die Daten als auch deren Löschfrist in diesem dokumentiert wird.
Der Notfallplan ist für das Unternehmen nicht nur aus unternehmerischer Hinsicht umzusetzen. In diesem muss auch eine mögliche Datenpanne berücksichtigt werden, weshalb bei diesem der Datenschutz einbezogen werden muss.
Vertrag zur Auftragsverabeitung (Art. 28 DSGVO)
Im Verzeichnis der Verarbeitungstätigkeit wird ebenfalls ermittelt, ob Sie personenbezogene Daten zur Verarbeitung an einen Dritten weitergeben. Dies ist z. B. der Fall, wenn eine Druckerei für Sie Werbeprospekte drucken und direkt im Anschluss an Ihre Kunden versenden soll und Sie der Druckerei hierfür eine Adressliste bereitstellen. Die Druckerei arbeitet mit den von Ihnen bereitgestellten Daten ausschließlich auf Weisung von Ihnen und darf mit diesen nichts weiteres tun, als das was Sie beauftragt haben. Hier liegt eine Datenverarbeitung durch einen Dritten vor. Sie bleiben jedoch weiterhin für diese Daten verantwortlich und haften ggfs. auch. Aus diesem Grund muss die Verarbeitung durch den Dienstleister über einen Vertrag geregelt werden, sodass sichergestellt ist, dass dieser sorgsam mit den Daten umgeht und ebenfalls seiner Sorgfaltspflicht nachkommt. Hierfür nutzt man einen Vertrag zur Auftragsverarbeitung (AV-Vertrag), in dem geregelt ist, welche Daten, für welchen Zweck wie durch den Dienstleister verarbeitet werden und welche Vorkehrungen zum Schutz der Daten getroffen werden.
Da Sie als Unternehmen immer verantwortlich für die Daten bleiben, auch wenn diese nach draußen gehen, sind Dienstleister immer sorgfältig auszuwählen und entsprechende Verträge vor Inanspruchnahme der Dienstleistung zu prüfen.
Gelegentlich gibt es den Fall, bei dem sowohl Sie selbst als auch Ihr Dienstleister personenbezogene Daten gemeinsam verarbeiten. Dann liegt für diese Daten auch eine gemeinsame Verantwortlichkeit vor. Diese wird ebenfalls über einen Vertrag zur gemeinsamen Verantwortung (Art. 26 DSGVO) geregelt.
Betroffenenrechte (Artt. 12 - 23 DSGVO)
Unter die Betroffenenrechte fallen nachfolgend Rechte:
Recht auf Information / Auskunft
Betroffene erhalten Information darüber, welche Daten von ihnen verarbeitet werden und zu welchem Zweck. Dieses Recht kann jederzeit gegenüber jedem Unternehmen ausgeübt werden. Auf derartige Anfragen muss ein Unternehmen innerhalb von 1 Monat antworten.
Das Recht auf Information leitet auch die Informationspflichten gem. Art. 13 und 14 DSGVO ab. Hierbei sind Sie verpflichtet, Betroffene (Kunden, Mitarbeiter, usw.) über die Datenverarbeitung in Ihrem Unternehmen zu informieren. Bei den Informationspflichten sind ebenfalls mehrere Bereiche zu berücksichtigen, die sich anhand der Verzeichnisse der Verarbeitungstätigkeit ermitteln lassen.
Recht auf Berichtigung
Daten von Personen müssen richtig sein und selbst dann korrigiert werden, wenn dies für die betroffene Person nicht wichtig ist. Eine Berichtigung sollte schnellstmöglich erfolgen – auf Anfrage der Person spätestens innerhalb von einem Monat.
Recht auf Löschung oder Einschränkung der Verarbeitung
Einer Anfrage auf Löschung muss immer stattgegeben werden. In einigen Fällen dürfen die Daten trotzdem genutzt werden. Zum Beispiel wenn ein Gesetz dies verlangt oder Sie die Daten benötigen, um Rechtsansprüche geltend zu machen.
Recht auf Datenübertragbarkeit
Betroffene haben ein Recht auf eine Kopie ihrer Daten. Die erste Kopie ist kostenlos und sollte in einem gebräuchlichen elektronischen Format bereitgestellt werden. Dies kann z. B. ein PDF-Dokument sein. Zu diesen Unterlagen gehören alle Daten zu der Person, auch wenn diese nicht zwingend den Personenbezug erkennen lassen.
Für alle aufgeführten Betroffenenanfragen sollte im Unternehmen ein Prozess vorliegen, wie Ihre Mitarbeiter mit diesen Anfragen umgehen. Denn die Anfragen können an jeden Mitarbeiter im Unternehmen gestellt werden und alle beinhalten Antwortfristen. Zudem sollten sie keinesfalls unbeantwortet bleiben, da jeder Betroffene auch ein Recht auf Beschwerde bei der Aufsichtsbehörde hat. Im Fall von unbeantworteten Anfragen wird dieses Recht oftmals wahrgenommen.
Verstöße / Datenpannen
Im Falle eines Verstoßes oder einer Datenpanne, z. B. Hackerangriff oder E-Mail-Versand im offenen Verteiler, gilt es in erster Linie, sofern es möglich ist, Sofortmaßnahmen zu ergreifen, um weiteren Schaden abzuwenden. Im Anschluss sollte umgehend geklärt werden, was passiert ist und eine Abstimmung mit dem Datenschutzbeauftragten erfolgen. Denn sobald Sie einen Vorfall entdecken beginnt die Zeit zu laufen: je nachdem was passiert ist, ist der Vorfall meldepflichtig. Liegt eine Meldepflicht vor, muss diese innerhalb von 72 Stunden erfolgen. Diese Frist kann sich ggfs. auch auf das Strafmaß auswirken, wenn Sie z. B. zu spät melden. Eine Meldung setzt nicht zwingend eine Strafe voraus, jedoch ein „vertuschter“ Vorfall führt immer zu einer Strafe.
Bei Verstößen und Datenpannen sollten Sie umgehend Ihren Datenschutzbeauftragten einbinden, da dieser Sie dabei unterstützen kann, ob der Vorfall meldepflichtig ist und welche Maßnahmen Sie ergreifen können. Ebenso kann er Sie bei der Meldung unterstützen.
Auch hinsichtlich der Datenpannen und Verstöße sollten Sie einen Prozess in Ihrem Unternehmen etablieren, wie Ihre Mitarbeiter in diesem Fall handeln sollten. Hilfreich ist es, sie positiv zu motivieren, Ihnen ein Problem schnell zu melden, da sich versteckte Vorfälle immer negativ auf das gesamte Unternehmen auswirken. Sofern sich Mitarbeiter nicht trauen, direkt auf Sie zuzukommen, ist dies auch anonym auf unserer Webseite möglich: https://www.dacuro.de/datenpannen
Schulung Mitarbeiter / weitere Datenschutz-Themen
Schulung
Unternehmen sind verpflichtet, ihre Mitarbeiter regelmäßig zum Thema Datenschutz und dem Umgang mit personenbezogenen Daten zu schulen. Mitarbeiter, die mit besonders sensiblen personenbezogenen Daten, wie z. B. Gesundheitsdaten arbeiten, sollten hierbei öfter geschult werden.
Weitere Datenschutz-Themen
Neben den allgemeinen Verpflichtungen zum Datenschutz, gibt es weitere Unternehmensbereiche, bei denen der Datenschutz und der Umgang mit personenbezogenen Daten zu berücksichtigen ist. Einige listen wir hier exemplarisch auf:
- Homepage / Social Media Kanäle
- Verpflichtung auf das Datengeheimnis
- Umgang mit Bewerberdaten
- E-Mail-Nutzung / Vertreterregelung
- Homeoffice / Mobile Device Management
- Datenweitergabe in Drittländer
Fazit - Unterstützung vom Experten
Das Thema Datenschutz kommt in Unternehmen in allen Bereichen zum Tragen und ist für Unternehmer nicht nur gesetzlich verpflichtend sondern trägt auch zur Sicherung von Unternehmensdaten und zu einer vertrauensvollen Kundenbeziehung bei. Die durch den Datenschutz geschaffenen Strukturen können ebenfalls die Basis für ein beginnendes Qualitätsmanagement darstellen. Die getroffenen technisch-organisatorischen Maßnahmen sichern automatisch alle Daten im Unternehmen.
Die Basis des Datenschutzes, aus dem sich alle nachfolgend erforderlichen Schritte ableiten, stellt das Verzeichnis der Verarbeitungstätigkeiten dar. In diesem werden alle personenbezogenen Prozesse dokumentiert und es dient als Grundlage für jegliche Anfragen.
Das Team der dacuro GmbH arbeitet seit vielen Jahren mit Unternehmen in den verschiedensten Branchen zusammen. Hierdurch sind uns viele Prozesse vertraut. Wir unterstützen unsere Kunden lösungsorientiert und deutschlandweit. Für Unternehmen können wir nicht nur den externen Datenschutzbeauftragten stellen, wir unterstützen auch interne Datenschutzbeauftragte. Wir bieten Schulungen an, die Unternehmen oder deren Datenschutzkoordinatoren dabei unterstützen, die oben aufgeführten Themen zu meistern. Für die Schulung und Sensibilisierung der Mitarbeiter in Unternehmen, bieten wir zwischenzeitlich eine Online-Schulung an. Nehmen Sie gerne Kontakt zu uns auf, wir beraten Sie gerne.
TAGS
Updates Anmeldung zum Newsletter
Wir informieren Sie kostenlos über aktuelle Meldungen zum Thema Datenschutz.
Dieser Inhalt wird aufgrund Ihrer fehlenden Zustimmung nicht angezeigt.
Einen Kommentar schreiben