Datenschutz im Unternehmen Ein Überblick

Transkript

1 IT-RechT Datenschutz im Unternehmen Ein Überblick von Katinka hüttl, LL.M. Europajuristin (Univ. Würzburg) LIEB.Rechtsanwälte, Erlangen Stand:

2

3 Inhaltsverzeichnis I. Datenschutz, rechtliche Grundlagen und Gesetzeszweck 5 5 III. Personenbezogene Daten 6 IV. Grundzüge der Erhebung, Nutzung und Verarbeitung personenbezogener Daten 6 1. Für die Datenerhebung bedarf es einer Rechtfertigung 7 2. Zweckbindung 8 3. Datensparsamkeit und Datenvermeidung 8 4. Transparenz 8 5. Datensicherheit 9 personenbezogener Daten 9 1. Datenschutzbeauftragten bestellen 9 2. Datenschutz-Registermeldung abgeben Technische und organisatorische Maßnahmen Datenschutz bei der Datenträgervernichtung Rechtsfolgen Benachrichtigung und Auskunft Berichtigung, Löschung und Sperrung Weitere Rechte Seite 3

4 IT-RechT Datenschutz im Unternehmen Ein Überblick

5 Bei dem Thema Datenschutz handelt es sich um ein sehr umfassendes und weitgefächertes Thema. Das vorliegende Skript soll lediglich einen Überblick tenschutz einzuhalten sind und für das Thema Datenschutz im Unternehmen sensibilisieren. I. Datenschutz, rechtliche Grundlagen und Gesetzeszweck Ausgangspunkt für den Datenschutz ist das Grundrecht der informationellen Selbstbestimmung, welches aus der allgemeinen Handlungsfreiheit und der Menschenwürde, Art. 2 Abs. 1. i. V. m. Art. 1 Abs. 1 Grundgesetz (GG), hergeleitet wird. Dieses räumt jedem Menschen das Recht ein, selbst zu bestimmen, welche Informationen über ihn wann, wo und wem bekannt gegeben werden. Es ist eine Art generelles Verbot, Daten ohne Willen einer Person über diese zu erheben. Aus diesem Grund normiert 1 Abs. 1 Bundesdatenschutzgesetz (BDSG), dass es Zweck des BDSG sei, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. Der Datenschutz begrenzt damit die wirtschaftliche Betätigung im Bereich der Datenverarbeitung auf das erforderliche Maß und auf einen gesellschaftlich verträglichen Umfang. Maßgeblich für den Datenschutz im Unternehmen sind vor allem die Regelungen des Bundesdatenschutzgesetztes. Daneben enthalten zahlreiche andere Gesetze, wie beispielsweise das Telemediengesetz oder das Telekom- Anwendbar sind daneben auch noch die europäischen Verordnungen zum Datenschutz. Es sollen nachfolgend die Anforderungen aus dem BDSG in einem Überblick dargestellt werden. II. Ist mein Unternehmen zum Es stellt sich zunächst ganz allgemein die Frage, wer die Vorschriften zum Datenschutz einzuhalten hat. Das Bundesdatenschutzgesetz gilt gemäß 1 Abs. 2 BDSG 2 Abs. 4 BDSG che Stellen natürliche und juristische Personen, Gesellschaften und andere 2013 Seite 5

6 Personenvereinigungen des privaten Rechts sind. Jedes private Unternehmen unterliegt folglich unabhängig von seiner Größe dem BDSG und damit dem Datenschutz und hat die entsprechenden gesetzlichen Vorschriften zu befolgen. Innerhalb der Unternehmen trägt die Verantwortung für die Einhaltung des BDSG gemäß 3 Abs. 7 BDSG die sog. verantwortliche Stelle, also jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. In einem Unternehmen sind die verantwortliche Stelle der Unternehmer, Inhaber oder auch der Geschäftsführer oder Vorstand. Datenschutz ist damit nicht optional und nicht an eine spezielle Rechtsform oder Unternehmensgröße gebunden. Jeder, der Mitarbeiter-, Kunden- oder Lieferantendaten verarbeitet, muss sich an die gesetzlichen Anforderungen halten. III. Personenbezogene Daten Der Datenschutz erfasst nach 1 Abs. 1 BDSG personenbezogene Daten. Unter Daten versteht man Einzelangaben. Personenbezug entsteht, wenn die Daten Rückschlüsse auf persönliche, sachliche und/oder tatsächliche Verhältnisse einer natürlichen Person zulassen. Dies gilt unabhängig davon, 3 Abs. 1 BDSG. Der Datenschutz beschränkt sich folglich auf den Schutz natürlicher lebender Personen. Daten juristischer Personen, wie beispielsweise Unternehmen, Vereine oder Organisationen sind nicht geschützt. Werden allerdings zu den entsprechenden Ansprechpartnern und Entscheidungsträgern personenbezogene Daten gespeichert, fallen diese wiederum unter den Anwendungsbereit des BDSG. Die Frage des Datenschutzes stellt sich im Unternehmen demnach folglich vor allem im Hinblick auf Daten von Kunden, anderen Geschäftspartnern, Lieferanten, Bewerbern und Mitarbeitern. Alter, Familienstand, Geburtsdatum und Anschrift, Sozialversicherungsnummer, Kraftfahrzeugnummer, Kreditkartennummer, Krankendaten, aber auch Werturteile, wie beispielsweise Zeugnisse. Die technische Form der Daten erfasst Seite 6

7 IV. Grundzüge der Erhebung, personenbezogener Daten 1. Für die Datenerhebung bedarf es einer Rechtfertigung Aus dem Grundrecht der informationellen Selbstbestimmung resultiert ein generelles Verbot der Datenerhebung. Es ist demnach verboten, was nicht ausdrücklich erlaubt wurde. Das bedeutet, im BDSG gilt als allgemeiner Grundsatz der des Verbots mit Erlaubnisvorbehalt zur Erhebung, Verarbei- Daten dürfen damit nicht erhoben, verarbeitet oder genutzt werden, außer BDSG bzw. eine andere gesetzliche Vorschrift rechtfertigt den Vorgang, 4 Abs. 1 BDSG. miert werden und diese Einwilligung in die Datenverarbeitung freiwillig und - Besondere Vorsicht ist bei der Verarbeitung ganz spezieller Arten personenbezogener Daten geboten. Dazu zählen Angaben zur Hier muss sich die Einwilligung nach 3 Abs. 9 BDSG ausdrücklich auf diese Daten beziehen. sich in den. Für Unternehmen spielt vor allem der 28 BDSG eine wichtige Rolle. Dieser erlaubt das Erheben, Speichern, Verändern oder Erfüllung eigener Geschäftszwecke, 1. wenn es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses 2. soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutz Seite 7

8 3. wenn die Daten allgemein zugänglich sind oder die verantwortliche Stelle - sichtlich überwiegt. 2. Zweckbindung Werden personenbezogene Daten erhoben, verarbeitet, gespeichert oder bindungsgrundsatz nach 14, 28, 29 BDSG. Es ist daher sicherzustellen, dass die Daten tatsächlich nur dem Zweck einer eindeutigen, vorher konkret festgelegten Verwendung dienen. len. Sollen diese Daten für einen weiteren Zweck genutzt werden, muss eine Ausnahmsweise kommt eine Verwendung der Personendaten für andere Zwecke in Frage: wortlichen Stelle im Vordergrund steht, Übermittlung. 3. Datensparsamkeit und Datenvermeidung 3a BDSG gehört zum Schutz personenbezogener Daten das Prinzip der so genannten Datensparsamkeit bzw. Datenvermeidung. Informationen zu einer konkreten, natürlichen Person dürfen demnach nur in daraus ist klar: Sind die Personendaten nicht unmittelbar erforderlich, dürfen sie nicht erhoben werden und müssen gelöscht oder zumindest gesperrt werden. Es sollen nur so viele Daten wie nötig, aber so wenige wie möglich, erhoben werden. Zudem sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und dies keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand darstellt. 4. Transparenz Ein weiteres wichtiges Prinzip des Datenschutzes ist die Transparenz. Erhebt, verarbeitet oder nutzt ein Unternehmen personenbezogene Daten, muss damit transparent gearbeitet werden Seite 8

9 Transparent bedeutet, das Unternehmen muss bei der Datenerhebung mit auch zur Verantwortung gezogen werden kann. Besonders wichtig ist dabei, die Erhebung und Verarbeitung von personenbezogenen Daten zu Kontrollzwecken zu dokumentieren. 5. Datensicherheit Personenbezogene Daten unterliegen bei ihrer Verarbeitung einem Mindestmaß an Sicherheitsvorkehrungen. Das Bundesdatenschutzgesetz fordert dazu in 9 BDSG und in der Anlage zu 9 BDSG konkrete Schutzmaßnahmen. Demnach sind die Daten vor allem vor Verlust, unerlaubter Kenntnisnahme oder Verfälschung zu schützen. personenbezogener Daten Aus dem Vorstehenden haben sich für die Unternehmen bereits bestimmte - tisiert und ergänzt werden. 1. Datenschutzbeauftragten bestellen Unter bestimmten Umständen müssen Unternehmen einen Datenschutzbeauftragen bestellen, 4f BDSG. Es kann sich dabei um eine natürliche tragte) handeln. Ein Datenschutzbeauftragter ist zu bestellen, wenn in dem Unternehmen keiten automatisiert erhoben, verarbeitet oder genutzt werden und sonen, beziehungsweise bei einer Verarbeitung auf andere Weise mindestens 20 Personen, beschäftigt werden. Unabhängig von der Anzahl der mit der Datenverarbeitung beschäftigten Personen ist ein Datenschutzbeauftragter zu bestellen, wenn in dem Unternehmen: 2013 Seite 9

10 - oder oder der anonymisierten Übermittlung erhoben, verarbeitet oder genutzt werden. Als Datenschutzbeauftragte dürfen nur Personen bestellt werden, die bestimmte Voraussetzungen erfüllen: amtlichen Aufgaben der Person stehen. 2. Datenschutz-Registermeldung abgeben Sollen Daten automatisiert verarbeitet werden, ist die verantwortliche Stelle des Unternehmens nach 4d Abs. 1 BDSG ren vor der Inbetriebnahme bei der zuständigen Aufsichtsbehörde, bei dem jeweiligen Landesbeauftragten für Datenschutz, anzumelden. oder cke erhebt, verarbeitet oder nutzt, und führung oder Beendigung eines rechtsgeschäftlichen oder rechtsge- Werden personenbezogene Daten allerdings zu folgenden Zwecken verar- 3. Technische und organisatorische Maßnahmen Unternehmen, die selbst oder im Auftrag anderer personenbezogene Daten erheben, verarbeiten oder nutzen, müssen technische und organisatorische Dazu schreibt das Datenschutzgesetz folgende Maßnahmen vor: haben Seite 10

11 Unbefugte dürfen keine Möglichkeit haben, die Datenverarbeitungsanlagen zu nutzen. Personen, die zur Benutzung der Datenverarbeitungsanlagen berechtigt sind, dürfen nur auf solche Daten zugreifen können, die ihrer jeweiligen dass personenbezogene Daten nach dem Speichern unbefugt gelesen, kopiert, verändert oder entfernt werden können. Personenbezogene Daten dürfen während der elektronischen Übertragung oder während eines Transports nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Es muss nachvollziehbar und überprüfbar sein, an welche Stellen Daten übermittelt werden. Es muss nachträglich überprüft werden können, von wem personenbezogene Daten eingegeben, verändert oder entfernt wurden. Werden personenbezogene Daten im Auftrag von Dritten verarbeitet, darf dies nur den Anweisungen des Auftraggebers folgend geschehen. Die Daten müssen gegen zufällige Zerstörung oder Verlust geschützt sein. Zu unterschiedlichen Zwecken erhobene Daten müssen grundsätzlich auch getrennt verarbeitet werden können. Diese Maßnahmen werden üblicherweise von dem Datenschutzbeauftragten des Unternehmens sichergestellt und überwacht. Bei Unternehmen, die antwortliche Stelle sicherstellen, dass diese Anforderungen erfüllt werden. Falls automatisierte Verarbeitungen zur Anwendung kommen, die eine Vorabkontrolle nötig machen, ist die Bestellung von Datenschutzbeauftragten Das Datengeheimnis gemäß 5 BDSG verbietet es Personen, die bei der Verarbeitung personenbezogener Daten beschäftigt sind, diese Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Das Datengeheimnis besteht auch nach Beendigung der Tätigkeit noch fort. Unternehmen müssen folglich ihre Mitarbeiter, die für die Verarbeitung personenbezogener Daten verantwortlich sind, vor bzw. bei Aufnahme der Tä Seite 11

12 Dies gilt ebenso für Auszubildende, wirtschaftlich unselbständige, aber arbeitnehmerähnliche Personen (z.b. in Heimarbeit Beschäftigte), Bewerberinnen oder Bewerber für ein Arbeitsverhältnis beziehungsweise Personen, deren Arbeitsverhältnis beendet wurde. Internetseiten des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. von dem Mitarbeitenden als auch durch die Vertretung der Arbeitgeberseite, die die Unterrichtung vornimmt, unterschrieben wird und dem Mitarbeiten- Unternehmen, die feststellen, dass gespeicherte Daten unrechtmäßig an Dritte weitergegeben wurden und dadurch die Rechte und schutzwürdigen ten für den Datenschutz zu melden, 42a BDSG. oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder nungswidrigkeiten oder den Verdacht darauf beziehen, und kann, um negative Folgen abzuwenden. Zudem ist dem Landesbeauftragten für Datenschutz mitzuteilen, welche negativen Folgen mit dem Bekanntwerden der Daten verbunden sein können und welche Maßnahmen durch das - - Anzeige muss mindestens halbseitig sein und in mindestens zwei bundesweit aufgelegten Tageszeitungen erscheinen beziehungsweise auf eine ver- 6. Datenschutz bei der Datenträgervernichtung Auch das Löschen personenbezogener Daten beziehungsweise das Ver Seite 12

13 nichten elektronisch oder mechanisch lesbarer Datenträger (z.b. CD-ROMs, Festplatten, Akten) ist eine Form der Verarbeitung im Sinne des Bundesdatenschutzgesetzes und muss nach bestimmten Vorschriften erfolgen. Werden Daten im eigenen Unternehmen gelöscht oder Datenträger vernichtet, muss das Unternehmen bzw. die dort verantwortliche Stelle sicherstellen, dass alle technischen und organisatorischen Maßnahmen zum Schutz der Daten umgesetzt werden. Wird ein auf Datenvernichtung spezialisiertes gewerbliches Drittunternehmen mit der Löschung oder Datenträgervernichtung beauftragt, muss der Auftrag schriftlich erfolgen und muss folgende Angaben enthalten, 9, 11 BDSG: keit der Daten eingestuft wird, einschalten darf und Vernichtung zu überwachen. Als Auftraggeber muss sich das Unternehmen bzw. der Datenschutzbeauftragte oder die sonst verantwortliche Stelle davon überzeugen, dass der Auftragnehmer die im Vertrag festgehaltenen Maßnahmen einhält. Dies gilt auch, wenn regelmäßig das gleiche Unternehmen mit der Datenvernichtung betraut wird. Es ist in diesem Fall stichprobenartig die Einhaltung der Maßnahmen zu überprüfen. Bis zum Abschluss der Vernichtung der Datenträger ist ausschließlich der Auftraggeber, also der Unternehmer für die Einhaltung der Datenschutzanforderungen verantwortlich. 7. Rechtsfolgen hen gemäß 43 BDSG Bußgelder von bis zu Dabei soll die Höhe des Bußgeldes den Vorteil, den derjenige hatte, der seine datenschutzrecht- che Stellen in BDSG geregelt Seite 13

14 beitet, bei erstmaliger Speicherung seiner Daten das Recht, von der Datenerhebung in Kenntnis gesetzt zu werden, wenn die Speicherung ohne sein Wissen erfolgt ist, 33 Abs. 1 BDSG Art. 33 Abs. 1 BDSG über die Art der Daten, die Zweckbestimmung der Erhebung, unterrichten. 34 Abs. 1 BDSG Auskunft von der erhebenden Stelle darüber verlangen, welche Daten von ihm gespeichert wurden, wo die Speicherung stattgefunden hat, zu welchem Zweck die Daten erhoben oder verarbeitet wurden, von wem die Daten erhoben wurden und wer der Empfänger seiner Daten war. Benachrichtigung und Auskunft sind Ausprägung des Transparenzgedan- sie sind unabdingbar. Unrichtige personenbezogene Daten sind gemäß 35 Abs. 1 BDSG zu berichtigen. schen. Zudem sind personenbezogene Daten nach 35 Abs. 2 BDSG zu löschen, wenn Meinungen, religiöse oder philosophische Überzeugungen, Gewerk- oder Ordnungswidrigkeiten handelt und ihre Richtigkeit von der verantwortlichen Stelle nicht bewiesen werden kann, Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist, oder eine Prüfung jeweils am Ende des vierten, soweit es sich um Daten über derspricht, am Ende des dritten Kalenderjahres beginnend mit dem Kalenderjahr, das der erstmaligen Speicherung folgt, ergibt, dass eine länger währende Speicherung nicht erforderlich ist. An die Stelle der Löschung tritt gemäß 35 Abs. 3 BDSG die Sperrung der Daten, soweit wahrungsfristen entgegenstehen, Seite 14

15 mit unverhältnismäßig hohem Aufwand möglich ist. Sperren von Daten bedeutet, dass die Daten in der entsprechenden Datei des verarbeitenden Unternehmens verbleiben, jedoch durch einen sogenannten Sperrvermerk gekennzeichnet werden und somit für die weitere Verarbeitung unzugänglich werden. 3. Weitere Rechte nenbezogenen Daten ein Schaden zugefügt, steht ihm ein Schadensersatzanspruch zu. Jedermann hat zudem das Recht, sich unmittelbar an die Datenschutzaufsichtsbehörden zu wenden, wenn er der Ansicht ist, bei der Verarbeitung seiner personenbezogenen Daten in seinen Rechten verletzt zu sein. Eine Studie 2013 Cost of Data Breach Study: Global Analysis des Ponemon Institute vom Mai 2013 kommt zu dem Ergebnis, dass es sich lediglich bei 37 % aller Datenschutzverletzungen um bewusste Datenschutzverletzungen handelt, wohingegen 35% auf der Unachtsamkeit und Unwissenheit der Mitarbeiter beruhen und 20 % aufgrund von Systemproblemen entstehen. Für das Jahr 2013 geht die Studie allein für Deutschland von ca Datenschutzverletzungen aus. Durch diese wird mit einem Schaden von ca. 3,6 Mio. für Datenverluste gerechnet, also mit 148 pro Datenschutzverletzung. Für ein Unternehmen bedeuten Datenschutzverletzungen und damit der Verlust kundenbezogener Daten nicht selten einen erheblichen Imageund dadurch auch Kundenverlust. Um Bußgelder durch Datenschutzverletzungen zu vermeiden ist es damit von besonderer Bedeutung, dass die Mitarbeiter in Unternehmen hinsichtlich des Datenschutzes geschult und vor allem sensibilisiert werden. Dies an Bedeutung gewinnen, da beides mit erheblichen datenschutzrechtlichen Risiken verbunden ist. Unternehmen sollten sich daher kritisch fragen, ob sie ausreichende Maß- Mitarbeiter hinreichend geschult und sensibilisiert haben Seite 15

16 ERLANGEN Apothekergasse Erlangen Fon +49 (0) Fax +49 (0) NÜRNBERG Bucher Straße Nürnberg Fon +49 (0) Fax +49 (0) WWW info@lieb-online.com