WISSEN · SYSTEME · WERKZEUGE

Was ist Datenschutz nach der DSGVO Datenschutz Grundverordnung?

Datenschutz ist ein Grundrecht. Jede Person hat das Recht auf informelle Selbstbestimmung und darf damit selbst entscheiden, welche persönlichen Daten von Ihr freigegeben bzw. zur Verwendung weitergegeben werden dürfen. Mit dem Datenschutz sollen diese personenbezogenen Daten geschützt und vor missbräuchlicher Nutzung gesichert werden. Mit der Datenschutz-Grundverordnung (DSGVO) wurde in der EU am 25.05.2016 ein neues Gesetz eingeführt, welches das Bundesdatenschutzgesetz (BDSG) erweitert oder ebenfalls teils ersetzt. Die DSGVO ist am 25.05.2018 rechtswirksam geworden und garantiert ein einheitliches Datenschutzniveau in der Europäischen Union. Dadurch ist gewährleistet, dass Daten innerhalb der EU Mitgliedsstaaten frei fließen & übermittelt werden können. Die europarechtlichen Grundlagen sind einheitlich und garantieren die Rechte und Freiheiten für Betroffenen in Deutschland, aber auch in den anderen Mitgliedsstaaten.


Welche Ausbildung benötigen Sie für die Einhaltung der Datenschutz Grundverordnung DSGVO?


Mit unseren online Schulungen zur Datenschutz Grundverordnung DSGVO machen wir Sie fit für alle Belange des Datenschutzes. Mit unseren online Qualifizierungen können Sie sich zum Datenschutzbeauftragten oder Ihr Wissen zum Thema Datenschutz in Bezug auf die DSGVO auffrischen. Hier finden Sie eine Übersicht zu unserem Gesamtangebot.


Was sind die Ziele der Datenschutz-Grundverodnung?

Die wesentlichen Ziele der Datenschutz-Grundverordnung sind natürlich der Betroffenenschutz, aber auch der Verbraucherschutz - personenbezogene Daten sollen geschützt werden. Informationen und die Datenverarbeitung sollen transparent sein. Dadurch haben EU-Bürger eine bessere Kontrolle über Ihre personenbezogenen Daten, können diese Anfordern oder haben ein Recht auf Löschung. Ein weiteres Ziel ist wie schon erwähnt eine einheitliche Regelung des Datenschutzes innerhalb der Europäischen Union und auch eine Anpassung des Rechts an die Anforderungen und Herausforderungen der Digitalisierung und der Technikgestaltung im 21. Jahrhundert. Zusätzlich sichert die DSGVO den freien Verkehr von personenbezogenen Daten innerhalb der Europäischen Union.

Gültigkeit der Datenschutz-Grundverordnung

Wie jede europäische Verordnung, so gilt auch die Datenschutz-Grundverordnung für alle Unternehmen innerhalb der EU mit Sitz in der EU. Neu an der EU DSGVO ist jetzt, dass diese Grundverordnung auch für Unternehmen außerhalb der EU gilt, wenn sie Waren und Dienstleistungen für EU-Bürger anbieten.

Unsere Serviceangebote im Bereich Datenschutz

  • E-Learning Kurse - steigen Sie umfassend oder kompakt ins Thema Datenschutz gemäß der Grundlage der DSGVO ein!
  • Inhouse-Training - wir kommen zu Ihnen ins Haus
  • Musterdokumente - im offenen Format zur Unterstützung Ihrer operativen Tätigkeit
  • Fachzeitschrift ProSys - monatliche Fachinfos inklusive Mustdokumente
  • Beratung - wir unterstützen Sie und stehen Ihnen beratend zur Seite

Was sind personenbezogene Daten?

Die DSGVO soll den Schutz der personenbezogenen Daten verstärken. Was genau personenbezogene Daten sind erklären wir Ihnen nun in diesem Abschnitt. Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Doch was bedeutet das im Einzelnen? Nehmen wir uns an dieser Stelle ein Beispiel zur Hilfe - das KFZ-Kennzeichen. Täglich sehen wir zahlreiche KFZ Kennzeichen im Alltag.

Beispiel I - KFZ-Kennzeichen

Auf die Frage, ob ein solches Kennzeichen ein personenbezogenes Datum ist, muss man immer den Betrachtungsrahmen miteinbeziehen. Als normale Person können wir aus einem beliebigen Kennzeichen wie z.B. HH SB 123 keinerlei Rückschluss auf den Fahrer ziehen. Wir können diesen nicht feststellen oder identifizieren. Anders schaut es aus, wenn man uns jetzt die Ermittlungsbehörden anschauen. Diese haben natürlich Zugriff auf die Halter-Datenbank und können somit den KFZ-Halter identifizieren. Bei genauerem Blick stellen wir dann aber auch fest, dass der Halter eine natürliche Person oder aber eine juristische Person sein kann. Beispiel: Unternehmensfahrzeuge sind natürlich an Unternehmen gebunden, und der Halter ist in der Regel eine GmbH, Aktiengesellschaft oder eine sonstige Gesellschaftsform. Deswegen müssen Ermittlungsbehörden dann auch im Bußgeld Falle den Fahrer aus dem Unternehmen ermitteln, der dann natürlich die natürliche Person ist.

So entsteht der Personen Bezug und wir reden von einer bestimmbaren natürlichen Person. Das Beispiel eignet sich aber noch weiterhin, um zu ermitteln, in welchem Kontext personenbezogene Daten entstehen. KFZ-Kennzeichen sind z.B. auch für Unternehmen bezogene Daten. Bei einem Firmen Fahrzeug muss der Arbeitgeber sich davon überzeugen, dass der Arbeitnehmer im Besitz einer gültigen Fahrerlaubnis ist. In der Regel überprüft der Arbeitgeber das, indem er sich die Fahrerlaubnis vorlegen lässt. Damit entsteht ein Personenbezug. Immer wenn der Arbeitgeber jetzt ein Fahrzeug an einen Mitarbeiter übergibt, kann identifiziert werden, welche natürliche Person zu diesem Fahrzeug gehört. Damit wird das Kfz-Kennzeichen innerhalb des Unternehmens regelmäßig zu einem personenbezogenen Datum und ist somit relevant für den Datenschutz.

Beispiel II  - Telefondurchwahl / IP-Adresse

Ein weiteres Beispiel - Sie haben sicherlich eine Telefondurchwahl in Ihrem Unternehmen. Diese Durchwahl ist an Ihr Telefon geknüpft. Natürlich kann jetzt niemand anhand der Durchwahl "312" sagen, zu wem diese Durchwahl gehört. Aber spätestens wenn Sie Zugriff auf eine Visitenkarte, auf der diese Durchwahl erwähnt ist, oder auf ein internes Telefonbuch haben, können Sie den Personenbezug wieder herstellen. Gleiches gilt mit der IP-Adresse Ihres Rechners. Die IP-Adresse Ihres Rechners ist über die Netzwerkkarte an Ihr Gerät gebunden. Das ist zunächst einmal nicht personenbezogen, denn Ihr Gerät kann theoretisch von vielen Leuten benutzt werden. Aber spätestens dann, wenn Sie sich im Firmenumfeld mit Ihrem User und Ihrem Passwort anmelden kann intern in der IT das Gerät zu dem Benutzer und somit zu Ihnen verbunden werden. Damit wird die IP-Adresse zu einem personenbezogenen Datum.


Welche Vorlagen, Musterdokumente und Checklisten benötigen Sie für die Einhaltung der Datenschutz Grundverordnung DSGVO?


Wir bieten Ihnen zahlreiche Checklisten und Mustervorlagen zum Datenschutz gemäß der Datenschutzgrundverordnung an. Alle Vorlagen erhalten Sie in einem offenen Format, sodass Sie diese auf Ihre Bedürfnisse anpassen und direkt im Unternehmen verwenden können. Mehr Informationen finden Sie in unserer Rubrik der Musterdokumente zum Datenschutz gemäß der DSGVO Grundlage.


Wer ist für die Einhaltung des Datenschutzes nach der DSGVO Datenschutz-Grundverordnung verantwortlich?

Beim Thema Datenschutz war im BDSG seit 1979 immer die Rede von der verantwortlichen Stelle. In der DSGVO wird nur noch auf einen Verantwortlichen verwiesen. Laut Artikel 24 der DSGVO muss der Verantwortliche geeignete technische und organisatorische Maßnahmen umsetzen um die DSGVO-konforme Datenverarbeitung sicherzustellen. Die Einhaltung muss durch den Verantwortlichen nachgewiesen werden können. Rechtlich verantwortlich für die Einhaltung der DSGVO ist die Unternehmensleitung / die Unternehmensführung, sprich ein Geschäftsführer, ein Vorstand, ein Inhaber. Je größer ein Unternehmen und die damit verbundene Organisation ist, umso mehr können Sie auch die Verantwortung in die Managementebene weiterleiten - z.B. an Vertriebsleiter, IT-Leiter oder Personalleiter. Auch diese sind ein Teil des Verantwortlichen und sind mit dem Inkrafttreten der Datenschutz Grundverordnung mit in der Verantwortung für einen gelebten Datenschutz. Der Datenschutzbeauftragte dient nur als Berater und ist nur in der Verantwortung, wenn er die Vorgesetzten fehlerhaft informiert / berät.

Inhouse Schulungen und Beratung zum Thema Datenschutz

Sie wünschen sich ein auf Ihre Bedürfnisse ausgerichtetes Seminar zum Datenschutz nach DSGVO in Ihrem Unternehmen? Mit unseren Inhouse Schulungen kommen wir zu Ihnen und schulen Sie zu Ihrem Wunschthema. Gerne stehen wir Ihnen auch beratend zur Seite - sprechen Sie uns einfach an.

Was sind die Grundsätze der Datenverarbeitung nach der DSGVO?

Im Datenschutz und der Datenverarbeitung gibt es Grundsätze / Grundlagen, welche verbindlich einzuhalten sind. Diese stellen die Basis für einen funktionierenden Datenschutz dar.

1. Rechtmäßigkeit

Das Recht auf informationelle Selbstbestimmung der Betroffenen muss jeder Zeit gewahrt werden. Für die Verarbeitung von personenbezogenen Daten bedarf es stets einer legitimierten Grundlage.

2. Transparenz

Jeder Betroffene muss die Verarbeitung seiner personenbezogenen Daten nachvollziehen können. Die notwendigen Informationen müssen der betroffenen Person leicht und rechtzeitig zur Verfügung gestellt werden können.

3. Zweckbindung

Die Zwecke zur Verarbeitung personenbezogener Daten müssen eindeutig und rechtmäßig sein. Hier müssen Sie als Unternehmen genau überlegen, was Sie mit den personenbezogenen Daten genau tun möchten - auch nachgelagert. Die Verwendung muss schriftlich dokumentiert werden und ist dann zweckgebunden.

4. Datenminimierung

Beschränkung der Datensammlung auf das angemessene, sachliche, relevante und notwendige Maß.

5. Richtigkeit

Personenbezogene Daten sind richtig, vollständig und auf dem aktuellen Stand zu verarbeiten.

6. Speicherdauer

Eine Speicherung von personenbezogenen Daten darf nur solange erfolgen, wie es für die Verarbeitungszwecke erforderlich ist. Zusätzlich müssen anderweitige gesetzliche Vorgaben (z.B. handels- / steuerrechtliche Aufbewahrungspflichten) beachtet werden.

7. Verfügbarkeit, Integrität und Vertraulichkeit

Geeignete technische und organisatorische Maßnahmen zum angemessenen Schutz der Verarbeitung müssen getroffen werden.

Was sind Erlaubnisvorbehalte in der DSGVO?

Ein altbekanntes Prinzip aus dem Bundesdatenschutzgesetz (BDSG) begegnet Ihnen auch wieder in der Datenschutz Grundverordnung, nämlich das Verbot mit Erlaubnisvorbehalt. Das bedeutet, dass die Verarbeitung personenbezogener Daten nicht erfolgen darf, es sei denn, es gibt eine Rechtsgrundlage oder Erlaubnis. Es obliegt dem Verantwortlichen, diese Erlaubnis zu finden und zu definieren. Typische Erlaubnisvorbehalte sind die bekannte Einwilligung des Betroffenen oder die Verarbeitung zu Vertragszwecken. Auch die Speicherung von aufbewahrungspflichtigen Unterlagen, wie z.B. für die Steuer oder den Handel, stellen einen Erlaubnisvorbehalt dar. Es gibt auch berechtigte Interessen, die für den Verantwortlichen sprechen. Hier gilt es eine Abwägung zu machen zwischen den berechtigten Interessen des Verantwortlichen und dem schutzwürdigen Interesse des Betroffenen. Ein separater Punkt ist die Verarbeitung personenbezogener Daten innerhalb eines Arbeitsverhältnisses.

Einwilligung des Betroffenen zur Datenverarbeitung von personenbezogenen Daten

In Artikel 6 Absatz 1 lit. a wird die Einwilligung (eine Art des Erlaubnisvorbehalts) näher definiert. Und hier gibt es einige Punkte zu berücksichtigen. Beachten Sie, dass die Einwilligung von Betroffenen nicht die Basis Ihres Geschäfts ist - Sie kann jeder Zeit widerrufen werden! Eine Einwilligung sollte nur dann genutzt werden, wenn tatsächlich alle anderen Rechtsgrundlagen versagt haben.

1. Informiertheit

Eine Einwilligung ist nur dann rechtswirksam, wenn Sie informiert eingeholt wurde. Das bedeutet, dass der Betroffene einen Einblick darin haben muss, in was er einwilligt (Verweis: Grundsätze der Datenverarbeitung - Transparenzgebot). Er muss verstehen, in was er einwilligt. Deswegen muss er auch vorher oder vorab über die Verarbeitung und über die Konsequenzen der Einwilligung informiert werden. So kann der Betroffene abwägen, ob der Nutzen, den er durch die Einwilligung erhält, größer ist, wie die Einschränkung in die informationelle Selbstbestimmung.

2. Freiwilligkeit

Einwilligungen verlieren ihre Wirksamkeit, wenn Sie unter Zwang abgegeben werden. Ein gutes Beispiel hierfür ist die Einwilligung im normalen Falle des Arbeitsverhältnisses. Es gibt einige wenige Ausnahmen, aber im Regelfall kann man davon ausgehen, dass eine Einwilligung im Arbeitsverhältnis unter Zwang abgegeben wurde oder zumindest unter einem starken Missverhältnis was das Mächtegleichgewicht anbelangt. Das heißt, der Arbeitgeber hat in der Regel mehr Druckmittel in der Hand sich durchzusetzen, als der Arbeitnehmer. Insofern ist hier mit sehr großer Vorsicht die Einwilligung einzusetzen.

Beispiel: Einwilligung zur Nutzung des eigenen Bilds durch das Unternehmen für die Webseite oder firmeninterne Organigramme.

3. Eindeutigkeit

Die Einwilligung muss immer eindeutig sein. Mehrere Zwecke der Datennutzung können nicht vermischt werden. So ist es z.B. nicht erlaubt personenbezogene Daten allgemein zum "eigenen Unternehmenszweck" zu nutzen. Es muss klar definiert sein, zu welchem spezifischen Zweck die Nutzung der personenbezogenen Daten erfolgt. (Verweis: Grundsätze der Datenverarbeitung - Zweck Bindung)

4. Widerruflichkeit

Der Betroffene kann seine Einwilligung jederzeit widerrufen - der Widerruf muss dabei so einfach wie möglich sein, wie die Erteilung der Einwilligung.

5. Kopplungsverbot

Eine Einwilligung kann nicht mit anderen Rechtsgeschäften gekoppelt werden. Beispielsweise ist es also verboten, Produkte nur zu verkaufen, wenn der Käufer einem Newsletterversand zustimmt. Hier gilt es strikt zu trennen zwischen den vertraglich notwendigen Maßnahmen und den Dingen, die Sie durch die Einwilligung tatsächlich einholen wollen, um mit Daten ganz spezifische Maßnahmen durchzuführen.

6. Besondere Datenkategorien

Weiterhin ist zu beachten, dass für die besonderen Daten Kategorien nach Artikel 9 Absatz 2 A eine ausdrückliche Einwilligung nochmals erforderlich ist. Das heißt, ich darf die Einwilligung hier nicht vermischen. Gleiches gilt auch für Einwilligung in eine automatisierte Entscheidung. (Man spricht immer dann von einer automatisierten Entscheidung, wenn die Software mir die Entscheidung als Mensch abnimmt)

7. Nachweisbarkeit

Der Nachweis zur Einwilligung muss dokumentiert und jederzeit abrufbar sein. Bei einer Online-Einwilligung via Checkbox ist es erforderlich, dass der Nutzer die Einwilligung aktiv setzt. Ansonsten ist der Nachweis nicht gültig.


SEMINARVORSCHAU
DATENSCHUTZ GEM. DATENSCHUTZGRUNDVERORDNUNG - DSGVO 2018 UND BUNDESDATENSCHUTZGESETZ - BDSG