Das neue Datenschutzrecht

Das neue Datenschutzrecht - Ein kurzer Überblick über die wichtigsten Punkte

 

Was die Datenschutzgrundordnung von Ihnen verlangt 

Am 25.05.2018 sind die Europäische Datenschutzgrundverordnung sowie das novellierte Bundesdatenschutzgesetz in Kraft getreten. Die Europäische Datenschutzgrundverordnung gilt seitdem direkt in allen europäischen Mitgliedsstaaten und soll überall einen gleichhohen Standard in Punkto Datensicherheit gewährleisten. 

In Deutschland galt bisher schon ein sehr hohes Schutzniveau im Bereich der Datensicherheit, welches nunmehr faktisch in die Datenschutzgrundverordnung transportiert wurde. Jedoch führt das Gesetz dennoch zu verschiedenen formellen und teilweise inhaltlichen Änderungen. Erheblich verschärft wurden die Vorschriften zu den Ordnungswidrigkeiten; bei Missachtung der Vorschriften drohen Bußgelder, im Höchstfall von bis zu 20 Millionen EUR. 

Vor nunmehr einem Monat sind die neuen Regelungen in Kraft getreten, so dass alle Betriebe die sich bislang nicht mit dem Thema auseinander gesetzt haben, spätestens jetzt überprüfen sollten, ob die wichtigsten Schritte zur Umsetzung der Datenschutzgrundverordnung in ihrem Betrieb bereits erfolgt sind. Ansonsten besteht dringender Handlungsbedarf. 

Schutz personenbezogener Daten  

Wie bisher sind alle personenbezogenen Daten natürlicher Personen besonders zu schützen. Personenbezogene Daten sind alle Angaben, die sich auf eine bestimmte oder zumindest bestimmbare Person beziehen. Firmendaten fallen daher nur ausnahmsweise unter den Begriff der personenbezogenen Daten, beispielsweise dann, wenn man hierdurch Rückschlüsse auf eine natürliche Person schließen kann. Dies wäre bei Einzelunternehmen der Fall (z. B. eingetragener Kaufmann, Kleingewerbetreibender, Inhaber eines Sachverständigenbüros als natürliche Personen etc.). Nach wohl überwiegender Auffassung unterliegen aber auch schutzwürdige Daten, die zugleich Firmendaten sind, einem geringeren Schutzniveau. Das Schutzniveau wird dadurch aber bei natürlichen Personen nicht gänzlich aufgehoben. 

Beispiele für personenbezogene Daten sind Informationen, wie der Name, das Alter, die Anschrift, das Geburtsdatum, Kontaktdaten, Zeugnisse oder persönliche Verhältnisse. Dabei ist die technische Form dieser Angaben nicht von Bedeutung. Auch Fotos, Videoaufnahmen, Röntgenbilder oder Tonbandaufnahmen können personenbezogene Daten enthalten. 

Unter der Verarbeitung von Daten versteht man Tätigkeiten, wie das Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen bzw. Verändern, Auslesen, Abfragen, Bereitstellen, Löschen oder auch das Vernichten von Daten. 

Eine Datennutzung ist grundsätzlich nur zulässig, wenn entweder derjenige, dessen Daten verarbeitet werden sollen, in die Datennutzung einwilligt, oder eine gesetzliche Vorschrift die Datennutzung erlaubt. Eine rechtmäßige Datennutzung setzt deshalb entweder eine gesetzliche Erlaubnis oder eine Einwilligung des Betroffenen voraus, die dann im Übrigen freiwillig und schriftlich erfolgen und jederzeit widerrufbar sein muss. Zur Abgrenzung wann der Betrieb eine Einwilligung braucht und wann nicht lässt sich schlagwortartig folgendes ausführen: Immer dann, wenn die Daten auch zu Werbezwecken genutzt werden sollen, ist eine Einwilligung erforderlich. Braucht man die Daten des Kunden lediglich „zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen“ (z. B. zur Erstellung eines Angebotes) ist die Datennutzung nach Art. 6 Absatz 1 der DSGVO auch ohne Einwilligung zulässig. Gleiches gilt wenn derjenige, der Daten erhebt damit „berechtigte Interessen“ wahrt (z.B. um den Kunden nach Ablauf einer Lebensdauer von Anlagen oder Anlagenteil auf eine Erneuerung hinzuweisen). 

In diesem Fall ist lediglich die Informationspflicht nach Art. 13 DSGVO zu beachten. Diese „ungefragte“ Informationspflicht des datenverarbeitenden Unternehmers im Zeitpunkt der Datenerhebung ist eine der wichtigsten Neuerungen der ab 25.05.2018 geltenden EU-weiten DSGVO. Einzelheiten dazu werden weiter unten ausgeführt. 

Zweckänderungen sind der betroffenen Person mitzuteilen. Es dürfen nur die für den Zweck tatsächlich erforderlichen Daten erhoben werden. Sie müssen sachlich richtig sein und dürfen nur für den Zeitraum gespeichert werden, der für den entsprechenden Zweck erforderlich ist. Bei Zweckerreichung sind die Daten zu löschen – es sei denn, es besteht eine gesetzliche Aufbewahrungspflicht. Die Sicherheit der Daten ist zum einen durch Vertraulichkeit und durch entsprechende technische und organisatorische Maßnahmen zu gewährleisten. Einzelheiten zur IT-Sicherheit finden Sie am Ende des Artikels. 

Auch Mitarbeiter müssen über die Einhaltung der Grundsätze des Datenschutzes informiert und sensibilisiert werden. Eine Verpflichtung der Mitarbeiter sowie sie bisher das Bundesdatenschutzgesetz vorgesehen hat, ist nunmehr nicht mehr zwingend erforderlich. Dennoch empfiehlt es sich, eine schriftliche Verpflichtung durchzuführen, um bei einer Prüfung durch die Datenschutzbehörde oder bei einer Beschwerde eines Mitarbeiters dokumentieren zu können, dass die Mitarbeiter, die Einsichtnahme in Datenbestände haben, über die strenge Reglementierung informiert wurden. So kann im Falle einer „Datenpanne“ gegenüber der Datenschutzbehörde sichergestellt werden, dass die Mitarbeiter entsprechend den Vorgaben der DSGVO mit den Daten umgehen. 

Informationspflichten bei Erhebung  

Personen, deren Daten verarbeitet werden, müssen nach Art. 13 und Art. 14 DSGVO hierüber vorab informiert werden. Hierzu sind ihnen zahlreiche Informationen an die Hand zu geben, die das Gesetz auflistet. Im Einzelnen: 

  • Name und Kontaktdaten des Verantwortlichen
  • Ggf. Kontaktdaten des Datenschutzbeauftragten
  • Verarbeitungszweck der Datennutzung
  • Rechtsgrundlage der Datenverarbeitung
  • Ggf. diejenigen Personen oder Kategorien von Personen an die personenbezogene Daten weitergegeben werden
  • Die Dauer der Speicherung
  • Das Bestehen eines Rechts auf Auskunft, Berichtigung oder Löschung
  • Bestehen eines Beschwerderechts bei der Aufsichtsbehörde. 

Im internen Bereich unserer Homepage stellen wir Ihnen diesbezüglich das Musterinformationsschreiben der Bundesvereinigung der Bauwirtschaft zum Download zur Verfügung. 

Die Information sollte der betreffenden Person bei der ersten Rückantwort auf eine Kontaktanfrage der betreffenden Person zur Verfügung gestellt werden. Bei Handwerks- oder Baubetrieben dürfte dies im Regelfall die Übersendung eines Kostenangebotes per E-Mail, Fax oder Brief sein. 

Auftragsverarbeitung 

Wird die Datenverarbeitung durch einen externen Dritten (sog. Auftragsverarbeiter) ausgeführt, so muss der Betrieb, der die Daten zur Verarbeitung weitergibt, sicherstellen, dass die Daten datenschutzkonform verarbeitet werden. Beispiele für solche Auftragsverarbeitungen sind z. B. Cloud-Lösungen oder das Erstellen von Steuererklärungen für den Betrieb durch einen Steuerberater, wenn hierbei Rechnungen eines Kunden verarbeitet werden. Bei Verstößen gegen die Datenschutzbestimmunen haften der Betrieb und der Auftragsverarbeiter gemeinsam. Jedoch trägt der Betrieb als verantwortliche Stelle die Verantwortung für die Einhaltung der gesetzlichen Vorschriften. Er muss sich daher nachweisen lassen, dass der Auftragsverarbeiter die entsprechenden technischen und organisatorischen Maßnahmen trifft. Die Betriebe sollten daher mit ihren Auftragsverarbeitern spezielle Verträge abschließen, die genau dies sicherstellen. Muster für einen Auftragsverarbeitungsvertrag finden Sie beim ZDH unter dem nachfolgenden Link: 

https://www.zdh.de/fachbereiche/organisation-und-recht/datenschutz 

Dokumentationspflichten 

Darüber hinaus sind Betriebe verpflichtet, alle Verarbeitungsprozesse in einem sog. „Verzeichnis der Verarbeitungstätigkeiten“ im Unternehmen zu dokumentieren. Über dieses Verzeichnis wird eine Übersicht über alle im Betrieb datenschutzrelevanten Vorgänge erlangt. Die Dokumentation erfolgt in Form einer Risikobewertung im ersten Schritt und dem darauffolgenden Verarbeitungsverzeichnis. 

Innerhalb der Risikobewertung wird eingeschätzt, ob die zu bewertende Datenverarbeitung ein eher hohes oder eher geringes Risiko für den Betroffenen bürgt. Ein hohes Risiko liegt immer vor, wenn sehr viele Personen von der Verarbeitung der Daten betroffen sind, wie z. B. bei einer Videoüberwachung oder, wenn besonders schutzwürdige Daten betroffen sind. Besonders schutzwürdig sind z. B. Gesundheitsdaten, religiöse Zugehörigkeiten oder Weltanschauung. 

Liegt nach der Risikobewertung ein hohes Risiko vor, ist eine sog. Datenschutz-Folgeabschätzung“ vorzunehmen. Hierfür sieht Art. 35 DSGVO folgende Prüfungspunkte vor: 

  • Beschreibung der geplanten Verarbeitungsvorgänge
  • Beschreibung der Zwecke der Verarbeitung
  • Bewertung der Risiken für die Personen, deren Daten verarbeitet werden
  • Beschreibung der Maßnahmen, die zur Bewältigung der Risiken vorgesehen sind. 

Im zweiten folgenden Schritt ist das Verarbeitungsverzeichnis – auch für die mit geringem Risiko eingeschätzten Verarbeitungsvorgänge – zu erstellen. Darin sind Name und Kontaktdaten der Organisation einschließlich der Namen der Vertreter zu benennen, der Datenschutzbeauftragte, der Zweck der Verarbeitung, die Kategorie der betroffenen Person, möglicherweise die Kategorie von Empfängern – soweit die Daten weitergeleitet wurden – Fristen für die Löschung sowie die technischen und organisatorischen Maßnahmen. 

Muster für die typischen Fälle, für die ein Verarbeitungsverzeichnis in Handwerksbetrieben zu erstellen ist, finden Sie ebenfalls unter dem schon oben aufgeführten Link des ZDH. 

Datenschutzbeauftragter erst ab 10 Beschäftigten 

Bisher gilt, dass bei einer Betriebsgröße von mindestens 10 Beschäftigten, die ständig mit der automatisierten Verarbeitung von Daten beschäftigt sind, ein Datenschutzbeauftragter zu benennen ist. Unter die automatisierte Verarbeitung fällt auch die Verwendung von Kundendaten auf einem Tablet oder Smartphone. Zu beachten ist hierbei jedoch, dass der Geselle, der lediglich auf seinem Smartphone die Adressdaten oder Telefonnummern erhält, die Voraussetzung der „ständigen Datenverarbeitung“, nicht erfüllt, da es sich nicht um einen Kernbereich seiner Tätigkeit handelt, sondern die Erbringung der handwerklichen Leistung im Vordergrund steht und nicht die Datenverarbeitung selbst. 

Datenschutzbeauftragter kann ein Mitarbeiter aus dem Betrieb oder ein externer Dienstleister sein, wenn er auf dem Gebiet des Datenschutzes qualifiziert ist und über IT-Fachwissen verfügt. Daher darf der Datenschutzbeauftragte bei seiner Tätigkeit nicht in einen Interessenkonflikt geraten. Aus diesem Grund darf er im Unternehmen nicht für die Datenverarbeitung selbst verantwortlich sein. Mitglieder der Geschäftsführung, der Leiter der IT-Abteilung und der Leiter der Personalabteilung dürfen ebenfalls nicht gleichzeitig als Datenschutzbeauftragte bestellt werden. Die Kontaktdaten des Datenschutzbeauftragten sind zu veröffentlichen – z. B. auf der Homepage des Betriebes – und darüber hinaus der Landesdatenschutzbehörde zu melden. Diese Meldung muss nicht personalisiert erfolgen. Es sind alleine die Kontaktdaten des Datenschutzbeauftragten zu melden, gerade nicht zwingend der Name. Es kann also auch eine allgemeine Kontakt-E-Mail-Adresse für den Datenschutzbeauftragten, wie z. B. Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!, eingerichtet werden. Dies hat den Vorteil, dass bei der Bestellung eines neuen Datenschutzbeauftragten die Kontaktdaten nicht geändert werden müssen. Zu den zentralen Aufgaben des Datenschutzbeauftragten gehört die Unterrichtung und Beratung, sowohl der Geschäftsführung, als auch der Mitarbeiter, in allen Fragen des Datenschutzes, die Überwachung, ob die Datenschutzbestimmungen eingehalten werden sowie die Sensibilisierung der Mitarbeiter zu diesem Themenkreis. Er berät und überwacht die Durchführung der Datenschutzfolgeabschätzung. Weiterhin arbeitet er mit der Landesdatenschutzbehörde zusammen und ist Ansprechpartner für Betroffene hinsichtlich der Verarbeitung ihrer Daten. Bei einem internen Datenschutzbeauftragten ist zudem zu beachten, dass dieser einen besonderen Kündigungsschutz genießt. So darf das Arbeitsverhältnis während der Tätigkeit als Datenschutzbeauftragter und für ein Jahr danach nicht gekündigt werden. 

Datenschutzhinweis auf der Homepage des Betriebes 

Im Zuge der EU-weit geltenden gesetzlichen Neuerung ab 25.05.2018 müssen auch die Datenschutzerklärungen auf den Homepages der Unternehmen überarbeitet und an die Neuerungen angepasst werden. Hierfür kann leider kein allgemeines Muster an die Hand gegeben werden, da der Umfang der Datenschutzerklärungen sich danach richtet, wie die Homepage technisch eingerichtet ist. Enthält diese lediglich Informationen über den Betrieb, sind die Anforderungen an die Datenschutzerklärung deutlich geringer, als wenn im Vergleich dazu auch Trekking- und Analyse-Tools hinterlegt sind. Es ist also jeweils im Einzelfall zu prüfen, welche konkreten Datenverarbeitungsprozesse mit dem Besuch der eigenen Homepage verbunden sind. Bei Erhebung und Speicherung personenbezogener Daten, so z. B. bei der Anmeldung für einen Newsletter oder bei der Verwendung eines Kontaktformulars, muss überdies über die Art und den Zweck der Verwendung der personenbezogenen Daten informiert werden. Bei der Verwendung von Cookies, Trekking- und Analyse-Tools (z.B. Google Analytics, Piwik oder Matomo), Social Media Plugins (z. B. Facebook, Like-Botton von Facebook, Youtube, Twitter) etc oder die Einbindung von Veranschaulichungsprogrammen (z.B. Google Maps). müssen weitere Informationen auf der Homepage im Rahmen der Datenschutzerklärung hinterlegt werden. Sinnvoll ist in einem solchen Falle die Abstimmung mit dem Betreuer der Homepage. 

IT-Sicherheit 

Die DSGVO verlangt im Weiteren auch, dass die EDV-Anlagen von Betrieben einen hohen Schutz an Sicherheit bieten. Für den Schutz personenbezogener Daten ist es wichtig, dass es in der betriebseigenen IT keine Sicherheitslücken gibt. Hierzu muss der Betrieb dauerhaft „technische und organisatorische Maßnahmen“ ergreifen und diese auch dokumentieren. Beispielhaft zu nennen sind hier Passwörter für Benutzer, die Zuordnung von Benutzerrechten, die Verschlüsselung von Daten, Backups, die Einrichtung von Firewalls, Virenschutzsysteme, SSL-Verschlüsselung einer Firmenhomepage etc. Ein Überblick über die technischen und organisatorischen Sicherungsmaßnahmen finden Sie ebenfalls unter dem oben erwähnten Link des ZDH. 

Fazit 

Die bisher bekannten Grundsätze zum Schutz personenbezogener Daten bleiben datenschutzrechtlich weiterhin relevant und sind auch vor dem Hintergrund hoher Bußgelder bei einem Verstoß für jeden Betrieb von erheblicher Bedeutung. Dies gilt insbesondere, da es den Betrieb die Nachweispflicht trifft, dass er alle erforderlichen Maßnahmen getroffen hat, um die personenbezogenen Daten zu schützen. Wir raten an dieser Stelle dringend an, insbesondere die Dokumentationspflichten zu erfüllen. Für den Fall einer „Datenpanne“ und dem hiermit verbundenen Einschreiten durch die Datenschutzbehörde ist es von erheblichem Vorteil, wenn Betriebe, die hier dargestellten Maßnahmen und insbesondere ihrer Verpflichtung zur Erstellung der Verarbeitungsverzeichnisse und Verträge mit Auftragsverarbeitern in einem Ordner griffbereit haben. 

Auch sollte unbedingt eine vollständige und fehlerfreie Datenschutzerklärung auf Homepages von Firmen in den Blick genommen werden. Nach einer Leitentscheidung des OLG Hamburg vom 27.06.2013 waren jedenfalls schon die Kernbestandteile des „alten“ Datenschutzrechtes abmahnfähig nach UWG. Dies ist nun auch für die DSGVO zu befürchten.

Letztlich setzt sich der Datenschutz aus so vielen Einzelheiten zusammen, dass hier nur ein erster Überblick und eine erste Sensibilisierung erfolgen können, die durch die Ausformung der Landesdatenschutzbehörden oder etwaige Leitentscheidungen der Gerichte im Wettbewerbsrecht in Zukunft noch besser umsetzbar werden wird.

 

Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden.
Weitere Informationen Ok