Bundesdatenschutzgesetz (BDSG) und Datenschutz-Grundverordnung (DSGVO) Personenbezogene Daten ( 2 BDSG und Artikel 4 DSGVO)

Transkript

1 Bundesdatenschutzgesetz (BDSG) und -Grundverordnung (DSGVO) Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung von personenbezogenen Daten finden sich im deutschen BDSG und seit Mai 2018 übergeordnet in der europaweit geltenden DSGVO. Die neue Fassung des BDSG ist seit dem 25. Mai 2018 zusammen mit der DSGVO in Kraft getreten. Bei der Umsetzung der DSGVO besteht derzeit noch einiger Spielraum, der u.a. durch die verantwortlichen Aufsichtsbehörden geklärt werden muss (beispielsweise zur Pflicht eines beauftragten bei Unternehmen mit weniger als 10 Beschäftigten). Keine Anwendung finden BDSG und DSGVO auf die Verarbeitung von Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher und familiärer Tätigkeiten ( 1 Abs. 1 BDSG und Art. 2 Abs. 2 DSGVO). Personenbezogene Daten ( 2 BDSG und Artikel 4 DSGVO) Damit sind alle Informationen gemeint, auf deren Basis man Menschen (natürliche Personen bzw. im Gesetzes- und Verordnungstext als betroffene Person bezeichnet) identifizieren kann. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, psychologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind. ( 46 BDSG und Art. 4 Abs. 1 DSGVO) Diese Voraussetzung erfüllen insbesondere Daten wie Name, Adresse, Geburtsdatum, -adresse aber auch Autokennzeichen, Kontonummer oder IP-Adressen. 1 von 7

2 Verarbeitung Unter Verarbeitung versteht der Gesetzgeber jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreiche im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. ( 46 Nr. 2 BDSG und Art. 4 Nr. 2 DSGVO) Verantwortlicher Verantwortlich für die Einhaltung der vorschriften ist derjenige, der über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Der Verantwortliche haftet für die Einhaltung der DSGVO und des BDSG ( 46 Nr. 7 BDSG und Art. 4 Nr. 7 DSGVO). Verarbeitung besonderer Kategorien personenbezogener Daten Zu den besonderen Kategorien zählen ( 46 Nr. 14 BDSG und Art. 9 Abs. 2 DSGVO): Daten zur rassischen und ethnischen Herkunft Daten zur politischen Meinung Daten zur religiösen oder weltanschaulichen Überzeugung Daten zur Gewerkschaftszugehörigkeit genetische oder biometrische Daten Gesundheitsdaten Daten zum Sexualleben oder der sexuellen Orientierung Die Verarbeitung dieser Daten ist grundsätzlich untersagt. Es gelten jedoch Ausnahmen, die in 48 BDSG bzw. Art. 9 DSGVO detailliert festgelegt sind (z. B. Einwilligung der betroffenen Person) hervorgehen. 2 von 7

3 Profiling Hierunter versteht die DSGVO jede automatisierte Verarbeitung personenbezogener Daten, die darin besteht, dass diese Daten verwendet werden, um bestimmt persönliche Aspekte wie beispielsweise bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönliche Vorlieben, Interessen oder Zuverlässigkeit vorherzusagen. ( 46 Nr. 4 BDSG und Art. 4 Abs. 4 DSGVO) Pseudonymisierung Hierunter versteht die DSGVO die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können. Die zusätzlichen Informationen müssen gesondert aufbewahrt werden. ( 46 Nr. 5 BDSG und Art. 4 Abs. 5 DSGVO) Einwilligung Die freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung der betroffenen Person in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. ( 46 Nr. 17 BDSG und Art. 4 Abs. 11 DSGVO) Die Einwilligung des Betroffenen in die Erfassung und Verarbeitung seiner Daten ist wesentlicher Bestandteil der DSGVO und des BDSG. Dieser Einwilligung muss eine Information und Transparenz bezüglich der geplanten Nutzung der Daten vorausgehen einschließlich einer Information, wie der Betroffene seine Daten wieder löschen lassen kann. 3 von 7

4 Grundsätze für die Verarbeitung personenbezogener Daten (Art. 5 DSGVO) Für die Verarbeitung personenbezogener Daten gelten nachfolgende Grundsätze: Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz: Diese Anforderungen an die Verarbeitung müssen für den Betroffenen nachvollziehbar sein. Zweckbindung: Die Datenerhebung ist nur für den festgelegten, eindeutigen und legitimen Zweck zulässig. Datenminimierung: Die Datenverarbeitung muss dem Zweck angemessen und erheblich sowie auf das für den Zweck der Datenverarbeitung notwendige Maß beschränkt sein. Integrität und Vertraulichkeit: Die Datenverarbeitung muss in einer technischen und organisatorischen Weise erfolgen, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust. Rechenschaftspflicht: Der Verantwortliche muss die Einhaltung dieser Grundsätze nachweisen können. Richtigkeit: Die verarbeiteten Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein und falls dies nicht der Fall ist unverzüglich gelöscht oder berichtigt werden. Speicherbegrenzung: Die Datenspeicherung muss in einer Form erfolgen, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke der Verarbeitung erforderlich ist. 4 von 7

5 Pflichten der Verantwortlichen Dokumentationspflicht: Erstellung eines Verzeichnis von Verarbeitungstätigkeiten zu allen Geschäftsabläufen und Prozessen im Unternehmen bei denen personenbezogene Daten von Kunden oder Beschäftigten verarbeitet werden mit insbesondere Angabe von Zweck der Verarbeitung, Löschungsfristen und der Rechtsgrundlage der Verarbeitung (Art. 30 und 82 DSGVO) Informationspflicht bei Erhebung von personenbezogenen Daten: erklärung insbesondere bei Webseiten mit Aufklärung über alle Vorgänge, bei denen personenbezogene Daten verarbeitet werden sowie Art, Umfang, Zweck, Dauer, Rechtsgrundlage und Widerrufsmöglichkeit der Datenverarbeitung. Meldepflicht bei Datenverlust oder Verletzung des es (z.b. bei Verlust eines Handys mit Kundendaten) an die zuständige Landesdatenschutzbeauftragten. beauftragter bei Unternehmen ab 10 Beschäftigten mit Zugriff auf Kunden- oder Personendaten. Sofern es sich bei den Daten um sog. sensible Kundendaten handelt, muss immer ein beauftragter vorhanden sein. ( 38 BDSG) Technische und organisatorische Maßnahmen ( TOM ), d.h. je sensibler die gespeicherten Daten sind und je höher die Gefährdung für die Rechte des Betroffenen, desto höher sind die Anforderungen an die zu treffenden technischen und organisatorischen Maßnahmen im Rahmen der IT- Sicherheit (z.b. Pseudonymisierung, Verschlüsselung, Backups sowie regelmäßige Überprüfung, Bewertung und Evaluierung der getroffenen Maßnahmen zur Gewährleistung der Sicherheit der Datenverarbeitung). Es empfiehlt sich somit folgendes Vorgehen: Schutzbedarf feststellen, Risiken bewerten, Maßnahmen treffen und Nachweise erbringen. 5 von 7

6 -Folgeabschätzung: Wenn bei der Planung und Umsetzung technischer Maßnahmen ein besonders hohes Risiko für die personenbezogenen Rechte der Nutzer besteht (z. B. bei Nutzung neuer Technik wie beispielsweise dem Fingerabdruckscan oder der Gesichtserkennung) (Art. 35 DSGVO). Verarbeitung nach dem Prinzip der Datensparsamkeit (Datenminimierung), d.h. Daten dürfen nur für einen festgelegten, eindeutigen und legitimen Zweck erhoben werden. Zweckbindung, d.h. personenbezogene Daten dürfen nur für einen vor Erhebung festgelegten, eindeutigen und legitimen (Rechtsgrundlage) Zweck erhoben werden. 6 von 7

7 Rechte der Betroffenen ( BDSG und Art. 15 DSGVO) Informationsrecht: über den Zweck der Datenverarbeitung, die Rechte des Betroffenen auf Auskunft, Berichtigung, Löschung und Einschränkung der Verarbeitung, Name und Kontaktdaten des Verantwortlichen oder beauftragten, das Recht den Bundesdatenschutzbeauftragten anzurufen und Erreichbarkeit des Bundesdatenschutzbeauftragten ( 32 und 55 BDSG und Art. Und 14 DSGVO) Auskunftsrecht auf Antrag des Betroffenen: u.a. über gespeicherte Daten, deren Herkunft und Weitergabe an Dritte sowie über potentielle Löschungsfristen bzw. die Speicherdauer ( 34 und 57 BDSG und 15 DSGVO) Recht auf Berichtigung und Löschung ( Recht auf Vergessenwerden ) sowie Einschränkung der Verarbeitung der gespeicherten Daten (Ausnahme: zwingende Aufbewahrungspflichten wie bspw. für geschäftliche e- Mails) ( 35 und 58 BDSG und Art. 16, 17, 18 und 66 DSGVO) Data Portability, d.h. das Recht auf Datenmitnahme bzw. übertragung (Art. 68 DSGVO und Art. 20 DSGVO) Anrufung des Bundesbeauftragten für ( 60 BDSG) Widerspruchsrecht: in Bezug auf seine Einwilligung zur Datenverarbeitung ( 36 BDSG und Art. 21 Abs. 1DSGVO) Bußgelder Bußgelder sind bis zu 20 Mio. EUR oder bis zu 4% des gesamten weltweit erzielten konzernweiten Jahresumsatzes möglich (Art. 83 Abs. 4a DSGVO). 7 von 7