Was bedeutet eigentlich Datenschutz?

Der Begriff Datenschutz umfasst alle technischen und rechtlichen Maßnahmen, die dazu dienen, das Grundrecht der informationellen Selbstbestimmung als Freiheitsrecht des Bürgers zu sichern. Datenschutz schützt daher vor allem die Personen, deren Daten verwendet werden.

Dabei sollen nicht mehr Daten als zwingend erforderlich verarbeitet werden und dies auch von den Stellen, die dazu rechtlich befugt sind. Es werden technische und organisatorische Maßnahmen definiert, die einen sorgfältigen Umgang mit den Daten gewährleisten sollen. Dies beinhaltet auch Maßnahmen, die dem Schutz der Daten vor unbefugter Kenntnisnahme sowie Veränderung oder Löschung dienen.

Als Meilenstein des deutschen Datenschutzes wird oft das sog. Volkszählungsurteil des Bundesverfassungsgerichts aus dem Jahr 1983 genannt.

In diesem Urteil wurde das Recht auf informationelle Selbstbestimmung anerkannt, welches sich aus der grundrechtlich geschützten Menschenwürde nach Art. 1 Abs. 1 GG und dem Grundrecht der sog. allgemeinen Handlungsfreiheit nach Art. 2 Abs. 1 GG ableitet. Zusammengefasst besagt das Recht auf informationelle Selbstbestimmung, dass jeder Einzelne befugt ist, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.

Seit Inkrafttreten der Datenschutzgrundverordnung stützt sich der europäische und damit auch der deutsche Datenschutz nun auf Art. 8 Abs. 1 der Charta der Grundrechte der EU sowie Artikel 16 Abs. 1 des Vertrags über die Arbeitsweise der EU. Danach hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten.

Muss sich jeder Betrieb an die Vorschriften zum Datenschutz halten?

Ja, auch wenn ein Datenschutzbeauftragter nicht bestellt werden muss, ist jeder Betrieb (sowie Verein, öffentliche Stelle etc.) verpflichtet, sich an die datenschutzrechtlichen Vorschriften zu halten.

Sämtliche Aufgaben, die klassischerweise dem Datenschutzbeauftragten obliegen, muss die Geschäftsführung bzw. der Vorstand selbst erledigen.

Was sind die Aufgaben eines Datenschutzbeauftragten?

Zusammengefasst ist der Datenschutzbeauftragte für die folgenden Kernbereiche zuständig:

  • Beratung und Unterrichtung der Geschäftsführung und Mitarbeiter in datenschutzrelevanten Fragen
  • Überwachung der Einhaltung der datenschutzrechtlichen Vorgaben
  • Sensibilisierung und Schulung von Mitarbeitern
  • Überwachung der Durchführung der Datenschutz-Folgenabschätzung
  • Anlaufstelle im Verhältnis zur Aufsichtsbehörde und Zusammenarbeit mit dieser
  • Anlaufstelle für betroffene Personen

Wann ist ein Datenschutzbeauftragter zu benennen?

Ein Datenschutzbeauftragter ist immer dann zu bestellen, wenn mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden.

Unabhängig von der Beschäftigtenanzahl ist auch dann ein Datenschutzbeauftragter zu bestellen, wenn

  • Verarbeitungen vorgenommen werden, die der Datenschutz-Folgenabschätzung unterliegen,
  • die Kerntätigkeit in Verarbeitungsvorgängen besteht, die eine systematische Beobachtung von Personen erforderlich machen,
  • die Kerntätigkeit in umfangreicher Verarbeitung besonderer Kategorien von Daten (z. B. Gesundheitsdaten) oder von Daten über Straftaten besteht.

Was muss bei der Berechnung der Personenanzahl beachtet werden?

Grundsätzlich sind sämtliche Personen, die mit der Verarbeitung von Daten beschäftigt sind, bei der Berechnung zu berücksichtigen. Dabei spielt der arbeitsrechtliche Status keine Rolle, d. h. neben den „regulären“ Arbeitnehmern sind auch freie Mitarbeiter, Auszubildende, Praktikanten, Leiharbeitnehmer etc. bei der Berechnung zu berücksichtigen.

Auch ist bei der Berechnung unerheblich, ob es sich um Vollzeit- oder Teilzeitbeschäftigte handelt.

Wer darf als Datenschutzbeauftragter bestellt werden?

Als Datenschutzbeauftragter darf nur bestellt werden, wer sowohl in datenschutzrechtlicher als auch in informationstechnischer Hinsicht über die erforderlichen Kenntnisse verfügt und nicht Gefahr läuft, kraft seiner Position in dem Unternehmen einer Interessenkollision ausgesetzt zu sein. Vor diesem Hintergrund dürfen weder Führungskräfte mit Personalverantwortung noch solche aus dem IT-Bereich als Datenschutzbeauftragter bestellt werden.

Der Datenschutzbeauftragte kann sowohl ein Mitarbeiter als auch eine externe Person sein.

Soweit ein Mitarbeiter zum Datenschutzbeauftragten ernannt wird, genießt dieser besonderen Kündigungsschutz und kann auch nur aus einem wichtigen Grund als Datenschutzbeauftragter abbestellt werden. Der besondere Kündigungsschutz reicht bis zu einem Jahr nach Beendigung seiner Tätigkeit als Datenschutzbeauftragter fort.

Was sind die Vorteile eines externen Datenschutzbeauftragten?

Die Vorteile eines externen Datenschutzbeauftragten finden sie hier.

Was ist eine Datenschutz-Folgenabschätzung?

Eine Datenschutz-Folgenabschätzung ist eine Abschätzung der Folgen einer Datenverarbeitung mit voraussichtlich hohem Risiko für die Rechte und Freiheiten natürlicher Personen.

Eine Datenschutz-Folgenabschätzung ist immer dann durchzuführen, wenn besonders sensible personenbezogene Daten verarbeitet werden oder die Datenverarbeitung dazu bestimmt war, die Persönlichkeit des Betroffenen, einschließlich seiner Fähigkeiten, Leistungen oder seines Verhaltens zu bewerten. Sie hat den Zweck, rechtzeitig geeignete Maßnahmen ergreifen zu können, um das Risiko eines Schadens bei den Betroffenen zu minimieren.

Wer muss ein Verzeichnis von Verarbeitungstätigkeiten führen?

Alle Betriebe, die personenbezogene Daten automatisiert oder nicht automatisiert verarbeiten und sie in einem Dateisystem speichern oder speichern wollen, müssen ein Verzeichnis über die Verarbeitungen führen.

Ebenfalls sind Auftragsverarbeiter ausdrücklich zur Führung eines Verzeichnisses der Verarbeitungstätigkeiten verpflichtet.

Das Gesetz sieht eine Ausnahme vor:

Betriebe mit weniger als 250 Mitarbeitern unterliegen nicht der Pflicht zur Führung eines Verarbeitungsverzeichnisses. Aber auch nur dann, wenn die Verarbeitung selbst nicht ein Risiko birgt (z. B. Scoring), die Verarbeitung nur gelegentlich erfolgt, und keine besonderen sensiblen Datenkategorien (z. B. Gesundheitsdaten) betroffen sind.

Die meisten Betriebe verarbeiten jedoch regelmäßig Daten ihrer Mitarbeiter und Kunden, sodass die Ausnahmevorschrift in den meisten Fällen nicht greift!

Was bedeutet Auftragsverarbeitung?

Auftragsverarbeiter ist jede Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Dabei ist er an die Weisungen des Auftraggebers gebunden und besitzt kaum oder keine Entscheidungsbefugnis.

Der Auftragsverarbeiter hat Zugriffmöglichkeit auf personenbezogene Daten, die der Auftraggeber für seinen Betrieb benötigt. Dabei kommt allein darauf an, dass die Möglichkeit an sich besteht und nicht darauf, dass diese Möglichkeit auch tatsächlich genutzt wird.

Beispiel: Ein IT-Dienstleister, der mittels Fernwartung Zugriff auf den PC eines Mitarbeiters hat und dabei Zugriff auf personenbezogene Daten haben könnte, ist demnach ein Auftragsverarbeiter.

Was ist bei einer Auftragsverarbeitung zu beachten?

Der beauftragte Dienstleister muss unter Datenschutzaspekten als Auftragsverarbeiter geeignet sein, denn dem Auftraggeber trifft hier eine Prüfpflicht. Nur solche Auftragsverarbeiter dürfen beauftragt werden, die angemessene technische und organisatorische Maßnahmen zum Schutz der Daten getroffen haben.

Zusätzlich muss zum eigentlichen Dienstleistungsvertrag noch ein sog. Auftragsverarbeitungsvertrag mit dem Dienstleister abgeschlossen werden. Denn die erhöhten Gefahren für die Daten wegen des Zugriffs eines Dritten sollen vertraglich geregelt werden.

In diesem Auftragsverarbeitungsvertag müssen die wesentlichen Inhalte der Verarbeitung festgelegt werden. Dazu zählen u. a. Gegenstand, Art und Zweck der Verarbeitung sowie die jeweiligen Rechte und Pflichten der Parteien.

Zudem sichert der Auftragsverarbeiter in diesem Vertrag gewisse technische und organisatorischen Maßnahmen zu, um die Sicherheit der Datenverarbeitung zu gewährleisten.

Der Auftraggeber ist zwar weiterhin für die Erfüllung der datenschutzrechtlichen Pflichten aus (Betroffenenrechte, Meldung von Datenpannen etc.) zuständig. Der Auftragsverarbeiter ist diesbezüglich jedoch zur Unterstützung verpflichtet.

Was ist bei der Gründung eines Unternehmens hinsichtlich Datenschutz zu beachten?

Datenschutzrelevante Fragen sollten bereits in der Gründungsphase geklärt werden. Wer beispielsweise Produkte wie Apps und Software entwickeln möchte, sollte den Grundsatz „Privacy by Design“ beachten und datenschutzkonforme Produkte herstellen.

Wie erfolgt eine Überprüfung durch die Datenschutzaufsicht?

Die Landesdatenschutzbeauftragten haben vielfältige Möglichkeiten, die Datenverarbeitung eines Unternehmens zu überprüfen. So kann die zuständige Aufsichtsbehörde aus einem bestimmten Anlass – z. B. wegen einer Beschwerde eines Kunden oder Mitarbeiters – die Vorlage des Verarbeitungsverzeichnisses verlangen und dadurch die einzelnen Verfahren in dem Betrieb überprüfen. Die Aufsichtsbehörde kann dabei entweder den Betrieb aufsuchen oder sich die Unterlagen übersenden lassen.

Nach der Prüfung erhält der Betrieb Gelegenheit zur Stellungnahme, wenn es Beanstandungen gibt. Die Aufsichtsbehörde prüft dann, welche Maßnahmen sie ergreift, die bis zur Verhängung von Bußgeldern oder zur Aufforderung, die Verarbeitung einzustellen, gehen können.

Wer trägt die Verantwortung, wenn es zu einem Datenschutz-Verstoß kommt?

Die Verantwortung trägt der Betrieb als sog. verantwortliche Stelle. Der Betrieb haftet auch für Handlungen gesetzlicher Vertreter oder anderer Leitungspersonen sowie für Handlungen eines Beschäftigten oder eines eingeschalteten externen Beauftragten.

Ein Auftragsverarbeiter haftet selbst wie ein Verantwortlicher, wenn er gegen Weisungen des Auftraggebers verstößt und Daten des Auftraggebers für eigene Zwecke oder Zwecke Dritter verarbeitet. Neu werden zudem auch spezielle Haftungsregelungen für Auftragsverarbeiter im Falle von Datenschutzverletzungen eingeführt werden, d. h. Betroffene werden ihnen gegenüber bei Verstößen direkt Schadensersatzforderungen geltend machen können.

Welche Konsequenzen kann ein Datenschutz-Verstoß haben?

Im Rahmen eines Ordnungswidrigkeitsverfahrens können die Aufsichtsbehörden Geldbußen von bis zu 4 % des weltweit erzielten Vorjahresumsatzes oder bis zu 20 Millionen EUR verhängen; je nachdem welcher Betrag höher ist.

Wurde der Datenschutzverstoß gewerbsmäßig, gegen Entgelt oder in der Absicht begangen, betroffene Personen zu schädigen, drohen Freiheitsstrafen bis zu drei Jahre oder Geldstrafen.

Auch können die Aufsichtsbehörden die Verarbeitung von Daten für die Zukunft untersagen.

Zusätzlich können die betroffenen Personen Schadensersatz geltend machen.