Hier finden Sie Antworten auf viele Fragen zur DSGVO/BDSG (neu)
Personenbezogene Daten sind "alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person ... beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person.." (Artikel 4 DSGVO, Abs. 1)
Auch Fotos müssen als personenbezogene Daten gewertet werden, wenn Rückschlüsse auf die konkrete Person möglich sind. Dies gilt sowohl für digitale, wie nichtdigitale Werke.
Erfassen, Erheben, Löschen und Speichern personenbezogener Daten bedeutet jeglichen Vorgang der Verarbeitung personenbezogener Daten sowohl mit automatisierten als auch mit nichtautomatisierten Verfahren. Auch die Sammlung personenbezogener Daten auf Karteikarten oder in der Papierablage fällt unter diese Definition. (Artikel 4, ABs. 2 DSGVO)
Besondere Kategorien personenbezogener Daten sind:
- Religion bzw. religiöse Ausrichtung
- rassische oder ethnische Herkunft
- politische oder weltanschauliche Meinungen
- Gewerkschaftszugehörigkeit
- genetische Daten
- biometrische Daten
- Gesundheitsdaten
- Daten zum Sexualleben oder zur sexuellen Orientierung
Diese unterliegen nach DSGVO/BDSG (neu) einem besonderen Schutz. (Art. 9, Abs. 1 DSGVO)
Daten über strafrechtliche Verurteilungen unterliegen ebenfalls einem besonderen Schutz (Art. 10, DSGVO und Erwägungsgrund 50)
Einen Datenschutzbeauftragten benötigen sowohl öffentliche, als auch nichtöffentliche Institutionen. Für nichtöffentliche Institutionen (Unternehmen, Vereine, Stiftungen) gilt, dass ein Datenschutzbeauftragter benannt sein muss, wenn 20 und mehr Personen mit der Verarbeitung personenbezogener Daten regelmäßig beschäftigt sind. Dies betrifft auch Mitarbeiter und Beschäftigte in Teilzeit, wobei jeder Teilzeitbeschäftigte voll gerechnet wird.
Wenn eine Datenschutzfolgeabschätzung zu erstellen ist muss ein Datenschutzbeauftragter bestellt werden, auch wenn die Grenze von 10 Beschäftigten nicht erreicht wird.
Unternehmen, deren Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen liegt, die eine regelmäßige und systematische Überwachung von betroffenen Personen zur Folge haben, unterliegen ebenfalls der Verpflichtung zur Bestellung eines Datenschutzbeauftragten.
Im Rahmen des Erstgespräches ist mit dem Auftraggeber zu klären, ob ein Datenschutzbeauftragter zwingend zu bestimmen ist. Auch bei Nichtvorliegen eines Zwanges ist es in vielen Fällen sinnvoll, einen Datenschutzbeauftragten zu bestimmen.
Der Datenschutzbeauftragte berät die Geschäftsleitung (Verantwortliche) und Mitarbeiter in allen Fragen der Umsetzung der gesetzlichen Vorgaben nach DSGVO/BDSG (neu).
Er ist Ansprechpartner für Betroffene bezüglich des Rechts auf Auskunft, Berichtigung und Löschung personenbezogener Daten.
Ferner ist der Datenschutzbeauftragte gegenüber den Datenschutzbehörden rechenschafts- und auskunftspflichtig.
Artikel 35 DSGVO schreibt eine Datenschutzfolgeabschätzung vor, wenn
- die "Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge" hat. (Art. 35 Abs. 1)
- eine systematische und umfassende Bewertung natürlicher Personen, einschließlich Profiling,
- eine umfangreiche Verarbeitung von besonderen personenbezogenen Daten nach Art. 9 bzw. Art. 10 DSGVO,
- eine systematische und umfangreiche Überwachung öffentlich zugänglicher Bereiche
stattfindet.
In Deutschland müssen alle Unternehmen ein Verzeichnis der Verarbeitungstätigkeiten Verantwortlicher anlegen.
Dieses Verzeichnis enthält eine Reihe von Pflichtangaben, sowie optionale Angaben, je nach Fall. In der Regel finden im Unternehmen mehrere Verarbeitungsvorgänge personenbezogener Daten statt, so dass mehrere Verarbeitungsverzeichnisse anzulegen sind.
Art. 32 DSGVO und insbesondere §64 BDSG (neu) stellt eine Reihe Anforderungen an technisch-organisatorische Maßnahmen zum Schutz personenbezogener Daten und deren Dokumentation. So hat nach BDSG (neu) der Verantwortliche dafür Sorge zu tragen
"...um bei der Verarbeitung personenbezogener Daten ein dem Risiko angemessenes Schutzniveau zu gewährleisten, insbesondere im Hinblick auf die Verarbeitung besonderer Kategorien personenbezogener Daten. Der Verantwortliche hat hierbei die einschlägigen Technischen Richtlinien und Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik zu berücksichtigen."
BDSG (neu), §64 Abs. 1
Als externer Datenschutzbeauftragter (IHK) sorge ich mit meinem Team dafür, dass die Anforderungen entsprechend den gesetzlichen Bestimmungen in Ihrem Unternehmen eingehalten und dokumentiert werden.
Der Begriff des Risikos ist weder in der DSGVO noch im BDSG (neu) klar definiert. Dennoch wird an mehreren Stellen sowohl in den Gesetzestexten, als auch in den Erwägungsgründen, auf diesem zentralen Begriff aufgebaut. Eine zentrale Stelle finden sich im Erwägungsgrund 75 zur DSGVO, die hier vollständig zitiert sein soll:
"Die Risiken für die Rechte und Freiheiten natürlicher Personen – mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere – können aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden führen könnte, insbesondere wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann, wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren, wenn personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Zugehörigkeit zu einer Gewerkschaft hervorgehen, und genetische Daten, Gesundheitsdaten oder das Sexualleben oder strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln betreffende Daten verarbeitet werden, wenn persönliche Aspekte bewertet werden, insbesondere wenn Aspekte, die die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort oder Ortswechsel betreffen, analysiert oder prognostiziert werden, um persönliche Profile zu erstellen oder zu nutzen, wenn personenbezogene Daten schutzbedürftiger natürlicher Personen, insbesondere Daten von Kindern, verarbeitet werden oder wenn die Verarbeitung eine große Menge personenbezogener Daten und eine große Anzahl von betroffenen Personen betrifft."
(Erwägungsgrund 75 zur DSGVO)
Der Erwägungsgrund 89 erwähnt ausdrücklich, dass auch die Einführung neuer Technologien der Datenverarbeitung eine Datenschutzfolgeabschätzung erforderlich wird. Die bislang notwendige Meldung bei der Einführung neuer Technologien bei den zuständigen Behörden entfällt entsprechend.
Der risikobasierte Ansatz der DSGVO fordert von den Verantwortlichen:
* die Identifikation der mit der Verarbeitung verbunden Risiken
* eine Risikoanalyse unter Berücksichtigung der Eintrittswahrscheinlichkeit und der Schwere der Folgen
* die Beurteilung, ob es sich um ein hohes oder sogar sehr hohes Risiko handelt und, nicht zuletzt
* eine adäquate Risikobehandlung.
Betroffener im Sinne des BDSG (neu) und der DSGVO sind ausschließlich natürliche, nicht aber juristische Personen. Soweit eine natürliche Person zugleich als Funktionsträger einer Organisation anzusehen ist, bezieht sich der Schutz ausdrücklich nur auf die natürliche Person.
Betroffene im Sinne des BDSG (neu)/DSGVO haben das Recht auf Auskunft, Berichtigung und Löschung, sofern einer Löschung nicht Rechtsgründe oder überwiegende berechtigte Interessen des Unternehmens entgegenstehen. Eine Anfrage auf Auskunft nach DSGVO ist innerhalb eines Monats durch den Datenschutzbeauftragten in Abstimmung mit dem Verantwortlichen zu beantworten.
Die Antwort muss einfach verständlich, inhaltlich korrekt und mit einem Hinweis auf die Rechte der Betroffenen versehen sein.
Verstöße gegen die DSGVO und das BDSG (neu) können sowohl Schadensersatzforderungen, als auch Bußgeld- oder Strafverfahren nach sich ziehen. Betroffene haben das Recht auf Schadensersatz (§83 BDSG (neu), Art. 82 DSGVO), das Recht auf wirksamen gerichtlichen Rechtsbehelf (Art. 77 DSGVO) und das Recht auf Beschwerde bei einer zuständigen Behörde (Art. 76 DSGVO).
Die maximale Höhe der möglichen Geldbußen nach DSGVO liegt bei 20.000.000,00 Euro oder 4% des globalen Umsatzes. (Art. 83 Abs. 5 DSGVO), die Geldbuße soll wirksam, verhältnismäßig und abschreckend sein (Art. 83 Abs. 1 DSGVO).
Im Bundesdatenschutzgesetz, BDSG (neu) sind ergänzend in den §41, §42 und §43 weitere ergänzende Rechtsfolgen festgelegt.
Aktuell halte ich Vorträge, unter anderem in Rastatt und Offenburg zum Thema. Die Folien des Vortrags und die Links finden Sie auf dieser Seite: