Kursangebot | Rechtsbewusstes Handeln | Notwendigkeit und Zielsetzung des Datenschutzes

Rechtsbewusstes Handeln

Notwendigkeit und Zielsetzung des Datenschutzes

01. Auf welchen Rechtsquellen basiert der Datenschutz?

Der Datenschutz ist als Bundesgesetz im Bundesdatenschutzgesetz (BDSG) sowie in den jeweiligen Landesdatenschutzgesetzen geregelt. Er basiert auf dem allgemeinen Persönlichkeitsrecht nach Art. 2 Abs. 1 GG. Die Sonderregelungen des Datenschutzes sind: Bank-, Brief-, Post-, Fernmelde-, Steuer-, Betriebs-/Geschäftsgeheimnis.

Grundgesetz (GG)Art. 2 Abs. 1 in Verbindung mit Art. 1 GG: Verbürgt ist der Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung Verwendung und Weitergabe seiner persönlichen Daten (Persönlichkeitsrecht und Menschenwürde)
Bundesdatenschutzgesetz (BDSG) i. V. m. Landesdatenschutzgesetze (LDSG)Der Einzelne ist davor zu schützen, dass er durch den Umgang mit seinen persönlichen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.
Sonderregelungen, z. B.
  • Strafgesetzbuch (Die Preisgabe von Daten wird bestraft.)
  • BetrVG (Die Preisgabe von Betriebs- und Geschäftsgeheimnissen ist strafbar)
  • Abgabenordung (Bank- und Steuergeheimnis)
  • Postgesetz (Brief-, Post- und Fernmeldegeheimnis)
  • Meldegesetze, Passgesetze u. Ä.
Europäische Datenschutzgrundverordnung, Mai 2018Verordnung der EU zur einheitlichen Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen

 

02. Welche Inhalte hat die Europäische Datenschutzgrundverordnung (EU-DSGVO)?

  • Sie vereinheitlicht den Datenschutz in der Europäischen Union und schafft gleiche Datenschutzstandards für alle Mitgliedsstaaten. Damit gewinnt der Datenschutz erheblich an Bedeutung.

  • Die individuellen Nutzerrechte der Verbraucher werden gestärkt. Die Nutzer haben in Zukunft leichter Zugang zu den von ihnen gespeicherten Daten (welche Daten wurden gesammelt und gespeichert). Wenn ein Nutzer bereits gespeicherte Daten löschen möchte, hat er das „Recht auf Vergessen“ (Löschung personenbezogener Daten).

  • Besondere Bedeutung hat die europäische Grundverordnung für den Datenschutz für Unternehmen außerhalb der Europäischen Union, sobald sie die Europäische Union als Markt benutzen (z. B. US-Firmen wie Facebook oder Google).

  • Die Höhe der Bußgelder bei Verstößen gegen die Datenschutzgrundverordnung wird drastisch steigen.

Insbesondere enthält die EU-DSGVO folgende Einzelbestimmungen:

  • Unternehmen müssen im Falle einer Verletzung des Schutzes personenbezogener Daten unverzüglich (innerhalb 72 Stunden) handeln.

  • Die Einwilligung zur Datenverarbeitung muss klar abgegrenzt, einfach verständlich und einfach widerrufbar sein (auch online).

  • Die DSGVO findet Anwendung auf alle Daten, die sich auf eine identifizierbare natürliche Person beziehen (auch „pseudo-anonyme Daten“, wie z. B. IP-Adressen, Cookie-Kennungen).

  • Die DSGVO bringt für Unternehmen und Behörden umfassende Nachweispflichten mit sich (Accountability): Vorgaben der DSGVO erfüllen und Nachweis der Erfüllung.

 

03. Was versteht man unter Datenschutz und welche Prinzipien gelten?

Beim Datenschutz geht es nicht um den Schutz von Daten, sondern um den Schutz des Persönlichkeitsrechts des Bürgers beim Umgang mit seinen personenbezogenen Daten.

Aus Sicht des Datenschutzes lautet die erste Frage immer, ob Daten überhaupt erhoben werden dürfen oder sollen. Erst dann ist die Frage zu stellen, wie Daten gegen Missbrauch zu schützen sind.

Die Prinzipien des Datenschutzes sind daher:

Verbot mit ErlaubnisvorbehaltNur erlaubt, wenn es gesetzlich erlaubt ist oder der Betroffene seine Einwilligung gibt.
Sparsamkeit und VermeidungPersonenbezogene Daten sollen nur erhoben und gespeichert werden, wenn dies für den jeweiligen Zweck unbedingt erforderlich ist. Daten dürfen nicht auf Vorrat erhoben werden.
TransparenzDer Einzelne muss erkennen können, welche Daten über ihn gespeichert sind. Die Verwender haben Informationspflichten
ZweckbindungZweck der Erhebung muss bekannt sein.

 

04. Worin liegt der Unterschied zwischen Datenschutz und Datensicherheit?

Bei der Datensicherheit gilt es, Daten vor den unterschiedlichen Risiken zu schützen. Beim Datenschutz gilt es, das Persönlichkeitsrecht der Bürger zu schützen. Da personenbezogene Daten wie andere Daten auch durch Datensicherheitsmaßnahmen geschützt werden, ergeben sich teilweise Überschneidungen zwischen Datenschutz und Datensicherheit. Werden zum Beispiel vertrauliche Daten verschlüsselt abgespeichert, so ist dies eine Maßnahme der Datensicherheit. Handelt es sich bei den Daten um personenbezogene Daten, so ist die Verschlüsselung auch gleichzeitig eine Maßnahme des Datenschutzes.

imported

 

05. Welchen Anwendungsbereich hat das Bundesdatenschutzgesetz?

Hinweis

RECHTSGRUNDLAGEN

Das Bundesdatenschutzgesetz (BDSG) formuliert in § 1 Abs. 1:

„Dieses Gesetz gilt für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch

  1. öffentliche Stellen des Bundes,

  2. öffentliche Stellen der Länder, soweit der Datenschutz nicht durch Landesgesetz geregelt ist und soweit sie a) Bundesrecht ausführen oder b) als Organe der Rechtspflege tätig werden und es sich nicht um Verwaltungsangelegenheiten handelt.

Für nichtöffentliche Stellen gilt dieses Gesetz für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, es sei denn, die Verarbeitung durch natürliche Personen erfolgt zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.“

 

06. Welche Rechte hat ein Betroffener bezüglich seiner personenbezogenen Daten?

Das Bundesdatenschutzgesetz beschreibt die Rechte in verschiedenen Paragrafen sehr ausführlich. Die Rechte der betroffenen Personen sind geregelt in den §§ 32 bis 37 und 55 bis 61 BDSG.

 

07. Was versteht man unter personenbezogenen Daten?

Hinweis

RECHTSGRUNDLAGEN

Das BDSG beschreibt personenbezogene Daten in § 46:

„‚personenbezogene Daten‘ [sind] alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, […] identifiziert werden kann.“

  • Personenbezogen heißt, dass es eine Beziehung zwischen einem Datum und einer Person gibt. Natürliche Personen sind Menschen mit Namen, Geschlecht, Anschrift etc. Daten über juristische Personen werden nicht durch das BDSG geschützt, hier gelten andere gesetzliche Vorschriften.

  • Identifizierbar heißt, dass eine Person z. B. nicht namentlich genannt wird, aber durch weitere Angaben eindeutig zu bestimmen ist. Wohnt z. B. eine Person in einem Einfamilienhaus, ist sie leicht durch zusätzliche Angaben wie die Anschrift und das Geschlecht bestimmbar, wohnt sie in einem Mehrfamilienhochhaus, ist dies nicht eindeutig möglich.

 

08. Worin besteht der sachliche Anwendungsbereich der Datenschutzgrundverordnung (DSGVO)?

Die Datenschutzgrundverordnung gilt lt. Art. 2 für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

 

09. Welche Allgemeine Grundsätze nennt das Bundesdatenschutzgesetz für die Verarbeitung personenbezogener Daten

Personenbezogene Daten müssen lt. § 47 BDSG

  1. auf rechtmäßige Weise und nach Treu und Glauben verarbeitet werden,

  2. für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise verarbeitet werden,

  3. dem Verarbeitungszweck entsprechen, für das Erreichen des Verarbeitungszwecks erforderlich sein und ihre Verarbeitung nicht außer Verhältnis zu diesem Zweck stehen,

  4. sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; dabei sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden,

  5. nicht länger als es für die Zwecke, für die sie verarbeitet werden, erforderlich ist, in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen ermöglicht, und

  6. in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet; hierzu gehört auch ein durch geeignete technische und organisatorische Maßnahmen zu gewährleistender Schutz vor unbefugter oder unrechtmäßiger Verarbeitung, unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung.

 

10. Welche Grundsätze nennt die Datenschutzgrundverordnung für die Verarbeitung personenbezogener Daten?

Personenbezogene Daten müssen gemäß Art. 5 DSGVO

  1. auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);

  2. für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung […] für wissenschaftliche oder […] statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);

  3. dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);

  4. sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);

  5. in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; […] („Speicherbegrenzung“);

  6. in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);

 

11. Was bedeutet die Verpflichtung auf das Datengeheimnis?

Die speichernden Stellen sind verpflichtet, Mitarbeiter, die mit der Verarbeitung personenbezogener Daten zu tun haben, über Vorschriften des BDSG zu informieren. Dieses geschieht i. d. R. durch Aushändigung eines Merkblattes und eines Formulars, das vom Mitarbeiter zu unterschreiben ist.

Hinweis

RECHTSGRUNDLAGEN

§ 53 BDSG: Datengeheimnis

„Mit Datenverarbeitung befasste Personen dürfen personenbezogene Daten nicht unbefugt verarbeiten (Datengeheimnis). Sie sind bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach der Beendigung ihrer Tätigkeit fort.“

Aufgrund dieser Maßnahme können sich Mitarbeiter, die personenbezogene Daten verarbeiten, nicht darauf berufen, sie hätten in Unkenntnis der gesetzlichen Bestimmungen gehandelt. Der Gesetzgeber überträgt somit die Verantwortung auf die Mitarbeiter.

 

12. Welche Anforderungen stellt das Bundesdatenschutzgesetz an die Sicherheit der Datenverarbeitung?

§ 64 BDSG schreibt folgendes vor

Hinweis

RECHTSGRUNDLAGEN

Anforderungen an die Sicherheit der Datenverarbeitung

(1)

Der Verantwortliche und der Auftragsverarbeiter haben unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und der Schwere der mit der Verarbeitung verbundenen Gefahren für die Rechtsgüter der betroffenen Personen die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um bei der Verarbeitung personenbezogener Daten ein dem Risiko angemessenes Schutzniveau zu gewährleisten, insbesondere im Hinblick auf die Verarbeitung besonderer Kategorien personenbezogener Daten. Der Verantwortliche hat hierbei die einschlägigen Technischen Richtlinien und Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik zu berücksichtigen.

(2)

Die in Absatz 1 genannten Maßnahmen können unter anderem die Pseudonymisierung und Verschlüsselung personenbezogener Daten umfassen, soweit solche Mittel in Anbetracht der Verarbeitungszwecke möglich sind. Die Maßnahmen nach Absatz 1 sollen dazu führen, dass

  1. die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sichergestellt werden und

  2. die Verfügbarkeit der personenbezogenen Daten und der Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederhergestellt werden können.

(3)

Im Fall einer automatisierten Verarbeitung haben der Verantwortliche und der Auftragsverarbeiter nach einer Risikobewertung Maßnahmen zu ergreifen, die Folgendes bezwecken:

  1. Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle),

  2. Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern (Datenträgerkontrolle),

  3. Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten (Speicherkontrolle),

  4. Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte (Benutzerkontrolle),

  5. Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben (Zugriffskontrolle),

  6. Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle),

  7. Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind (Eingabekontrolle),

  8. Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden (Transportkontrolle),

  9. Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellbarkeit),

  10. Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit),

  11. Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität),

  12. Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),

  13. Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),

  14. Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können (Trennbarkeit).

 

13. Welche Aufgaben hat der Datenschutzbeauftragte nach Art. 39 Datenschutzgrundverordnung (DSGVO)?

Dem Datenschutzbeauftragten obliegen u. a. folgernde Aufgaben:

  1. Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten hinsichtlich ihrer Pflichten nach dieser Verordnung;

  2. Überwachung der Einhaltung der DSGVO, anderer Datenschutzvorschriften der EU bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;

  3. Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35;

  4. Zusammenarbeit mit der Aufsichtsbehörde;

 

14. Hat der Datenschutzbeauftragte einen besonderen Kündigungsschutz?

Ja. Nach § 38 Abs. 2 i. V. m. § 6 Abs. 4 BDSG kann das Arbeitsverhältnis eines Datenschutzbeauftragten während der Amtszeit und ein Jahr nach der Abberufung nur außerordentlich (§ 630 Wichtiger Grund) gekündigt werden. Eine ordentliche (fristgerechte) Kündigung ist während dieser Zeit ausgeschlossen.

 

15. Hat der Datenschutzbeauftragte das Recht, die Nutzung der vom Betriebsrat verwendeten Daten zu kontrollieren?

Nein. Das Bundesarbeitsgericht (BAG) kommt zu dem Ergebnis (Beschluss BAG, 11.11.1997 – 1 ABR 21/97), dass die vom BetrVG geforderte Unabhängigkeit der Betriebsräte eine Kontrolle durch den betrieblichen Datenschutzbeauftragten (verlängerter Arm des Arbeitgebers) ausschließt (strittig).

 

16. Welche Rechte und Pflichten hat der Betriebsrat in Fragen des Datenschutzes?

§ 75 Abs. 2 BetrVG Grundsätze für die Behandlung der Betriebsangehörigen„Arbeitgeber und Betriebsrat haben die freie Entfaltung der Persönlichkeit der im Betrieb beschäftigten Arbeitnehmer zu schützen und zu fördern. Sie haben die Selbstständigkeit und Eigeninitiative der Arbeitnehmer und Arbeitsgruppen zu fördern.“
Anmerk.: Dazu gehört auch die Einhaltung des Datenschutzes.
§ 80 Abs. 1 Nr. 1 BetrVG Allgemeine Aufgaben„Der Betriebsrat hat darüber zu wachen, dass die zugunsten der Arbeitnehmer geltenden Gesetze, Verordnungen, Unfallverhütungsvorschriften, Tarifverträge und Betriebsvereinbarungen durchgeführt werden.“
Anmerk.: Dazu gehört auch die Einhaltung des Datenschutzgesetzes.
§ 87 Abs. 1 Nr. 6 BetrVG Mitbestimmungsrechte„Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen.“
§ 94 BetrVG Personalfragebogen, Beurteilungsgrundsätze(1) „Personalfragebogen bedürfen der Zustimmung des Betriebsrats. Kommt eine Einigung über ihren Inhalt nicht zustande, so entscheidet die Einigungsstelle. Der Spruch der Einigungsstelle ersetzt die Einigung zwischen Arbeitgeber und Betriebsrat.“
(2) „Absatz 1 gilt entsprechend für persönliche Angaben in schriftlichen Arbeitsverträgen, die allgemein für den Betrieb verwendet werden sollen, sowie für die Aufstellung allgemeiner Beurteilungsgrundsätze.“