Datenschutz-Unterweisung Prof. Dr. Rolf Lauser Datenschutzbeauftragter (GDDcert) öbuv Sachverständiger für Systeme und Anwendungen der Informationsverarbeitung im kaufmännisch-administrativen Bereich sowie Datenschutz und Datensicherheit
Ziel des Datenschutzes ist es: Menschen (die sog. Betroffenen) vor Beeinträchtigungen ihres Rechts auf Informationelle Selbstbestimmung durch andere, die Daten der Betroffenen verarbeiten oder nutzen, zu schützen. Das Recht der Betroffenen zu gewährleisten, grundsätzlich selbst über die Preisgabe und die Verwendung ihrer persönlichen Daten zu entscheiden. Für die Betroffenen Transparenz darüber herzustellen wer, zu welchem Zweck ihre personenbezogenen Daten verarbeitet oder nutzt.
Geschützte personenbezogene Daten sind: Jede Einzelangabe über eine natürliche Person Informationen über persönliche und sachliche Verhältnisse einer natürlichen Person. Achtung nach 3 Abs. 9 sind besonders geschützt Daten über: Ethnische Herkunft / politische, philosophische, religiöse Überzeugung / Gesundheit / sexuelle Orientierung Zur Erhebung (usw.) dieser Daten ist spezielle Einwilligung erforderlich Nicht geschützt sind: Daten über juristische Personen (Unternehmen) Aggregierte Daten über Gruppen von Personen, sofern daraus keine Individuen abgeleitet werden können Anonymisierte Daten, aus denen nicht auf Individuen geschlossen werden kann.
Zur Durchsetzung des Schutzes der personenbezogenen Daten umfasst das BDSG, neben dem Grundsatz der Datenvermeidung und der Datensparsamkeit 7 Punkte: Zulässigkeit der Verarbeitung: (Verbot mit Erlaubnisvorbehalt) Zweckbindung der personenbezogenen Daten Transparenz (Informationen an die Betroffenen, Benachrichtigung) Korrekturrechte (Berichtigung, Sperrung, Löschung) Datensicherheit (technischer Schutz gegen unbefugte Nutzung der Daten) Kontrolle (intern und extern) Sanktionen (Bußgeld, Strafe und Schadenersatz) Dies alles gilt aber nicht nur organisationsintern sondern auch bei der Weitergabe von Daten an andere Unternehmen, auch innerhalb eines Konzerns
Grundsätzlich gilt bei der Erhebung, Speicherung, Verarbeitung und Nutzung personenbezogener Daten ein Verbot, mit Erlaubnisvorbehalt. D.h. es ist verboten personenbezogene Daten zu erfassen,... Erlaubnisvorbehalte: Gesetzliche Regelungen, die eine Erfassung,... vorschreiben. Notwendigkeit der Erfassung,..., für eigene Geschäftszwecke. Diese Geschäftszwecke müssen im Voraus definiert sein Es muss ein Vertrag oder ein vertragsähnliches Verhältnis vorliegen. Das Verhältnismäßigkeits-Prinzip muss beachtet werden. Einwilligung des Betroffenen Schriftform Hinweis auf Zweck Besondere Hervorhebung Web-Site Doppeltes OptIn
Verantwortliche Stelle: Das Unternehmen, das die Daten für eigene Zwecke bei den Betroffenen Erhebt, Verarbeitet, Nutzt oder dies durch andere (Unternehmen) im Auftrag durchführen lässt. Dienstleister ist somit nicht die Verantwortliche Stelle Verantwortliche Stelle mit alle notwendigen Maßnahmen zur Einhaltung des Datenschutzes und der Datensicherheit zu treffen Die Nicht-Einhaltung von Datenschutz-und/oder Datensicherheits-Maßnahmen ist durch Bußgelder oder Strafvorschriften bewehrt Die verantwortliche Stelle ist auch zum Schadensersatz gegenüber dem Betroffenen verpflichtet Zweckbindung: Personenbezogene Daten dürfen nur zu den Zwecken verarbeitet oder genutzt werden, zu dem eine schriftlich dokumentierte Einwilligung vorliegt Nachträglich aufgekommene Zwecke erfordern eine neue Einwilligung (mit aktualisierten Zwecken) Zwecke müssen hinreichend konkret sein
Der Betroffene hat Rechte: Benachrichtigung bei Datenerhebung ohne Kenntnis des Betroffenen Auskunftsrecht des Betroffenen Welche personenbezogene Daten sind gespeichert Zu welchem Zweck sind sie gespeichert An welchen Dritten werden sie übermittelt Berichtigung, Sperrung und Löschung Berichtigung bei nachweislich fehlerhaften Daten Kontrolle: Sperrung, wenn Zweck der Speicherung weggefallen ist Löschung, wenn Erhebung der Daten unzulässig war Interne Kontrolle durch DSB Externe Kontrolle durch Aufsichtsbehörde
Datensicherheit = technische und organisatorische Maßnahmen zur Sicherstellung des Datenschutzes, aber auch eines sicheren Datenverarbeitungsbetriebes Primär eine Herausforderung für die IT-Abteilung und den DSB Für Anwender ist hier wichtig: Anwender dürfen nur auf die Anwendungen und Daten zugreifen, die sie für ihre Aufgaben innerhalb des Unternehmens benötigen Systeme dürfen nicht unbeaufsichtigt bleiben, so dass unbefugte Dritte diese Systeme nutzen können Passwörter sind geheim zu halten und müssen wirkungsvoll sein Daten dürfen nicht auf Datenträger heruntergeladen und aus dem Unternehmen gebracht werden.
Speziell bei Sales & Marketing ist zu beachten: Telephonwerbung (Cold-Calls) sind nach 7 Abs. 2 Punkt 2 UWG grundsätzlich verboten, außer es liegt eine dokumentierte Einwilligung vor. E-Mail-Werbung (auch Newsletter) sind nach 7 Abs. 2 Punkt 3 UWG auch nur mit einer dokumentierten Einwilligung zulässig Liegen für Telephon-und E-Mail-Werbung keine Einwilligungen vor, dann besteht eine latente Abmahnungsgefahr gegen die verantwortliche Stelle Für Telephon-und E-Mail-Werbung gilt nicht 28 Abs. 3 BDSG (das alte Listenprivileg) 28 Abs. 3 BDSG gilt nur für Werbung per gelbe Post. Wenn Adressen für Werbe-Post zugekauft / gemietet werden sollen, dann müssen dokumentierte Einwilligungen der Betroffenen vorliegen Identisches gilt für Verkauf / Vermietung von Adressen Verantwortliche Stelle muss Herkunft der Adressen dokumentieren
Vorgehen bei postalischer-oder E-Mail-Werbung: Einholung der Einwilligung des Betroffenen bereits bei der Datenerhebung Bei Adressensammlung über Web-Site geschieht dies nach 13 TMG Ausgabe einer Datenschutzerklärung Zwangs-Opt-In(mit Protokollierung) Erst nach dem Opt-Indürfen erhobene Daten submitted werden Falls Werbung per gelbe Post: Auf jedem Brief muss Unsubscribe-Möglichkeit gegeben sein Falls Werbung per W-Mail: Erste Mail = Begrüßungs-Mail (Wenn möglich ohne Werbung, höchstens Links zu Werbung) Auf jeder E-Mail muss Unsubscribe-Linkvorhanden sein Auf jeder E-Mail muss Impressum stehen D.h. Einwilligung gilt nur von Brief zu Brief / E-Mail zu E-Mail Keine dauerhafte Einwilligung möglich In Einwilligung muss Zweck eindeutig vermerkt sein.
Für den einzelnen Mitarbeiter bedeutet Datenschutz: Personenbezogene Daten dürfen nur zur Erfüllung der Übertragenen Aufgaben erhoben, gespeichert, verarbeitet oder genutzt werden. Im Unternehmen dürfen nur solche Mitarbeiter mit der Erhebung,..., personenbezogener Daten betraut werden, die auf das Datengeheimnis verpflichtet sind. Personenbezogene Daten sind grundsätzlich, auch innerhalb der Organisation vertraulich zu behandeln. Personenbezogene Daten dürfen nur dann an andere Stellen (innerhalb der Organisation oder an andere Organisationen (auch innerhalb des gleichen Konzerns) weitergegeben werden, wenn ein Erlaubnisvorbehalt oder der Zweckbezug dies zulässt. Die Verpflichtung auf das Datengeheimnis besteht auch nach der Beendigung der Tätigkeit fort.