Datenschutz-Grundverordnung?

Als vor knapp 1,5 Jahren die Umsetzung der europäischen Datenschutz-Grundverordnung (DSGVO) endete, war der Frust groß. In vielen Unternehmen herrschte die fixe Idee, dass personenbezogene Daten nur noch mit der Erlaubnis der betroffenen Person verarbeitet werden dürften. 

Grundlegende Informationen zur DSGVO

Hier wollen wir nun ein paar grundlegende Informationen über die DSGVO geben. 

Die DSGVO regelt den Umgang mit sogenannten personenbezogenen Daten. Personenbezogene Daten sind grob gesagt alle Informationen über eine Person, mit Hilfe derer oder mit Hinzunahme weiterer Informationen, Rückschlüsse auf die Identität einer Person gezogenen werden können. Das sind zum Beispiel Name, Geburtsdatum, Adresse, Kontaktdaten, aber auch Versichertennummern und Besitzverhältnisse. 

Besondere Kategorien 

Hinzu kommen die sogenannten besonderen Kategorien personenbezogener Daten. Diese gibt es, weil die betroffene Person hier einen besonders großen Schaden nimmt, wenn die Informationen öffentlich werden. Diese müssen daher auch besonders geschützt werden. Das sind: Daten über die ethnische oder "rassische" Herkunft, Religionszugehörigkeit, politische Meinungen, Gewerkschaftszugehörigkeit, Gesundheitsdaten, genetische Daten und biometrische Daten. Außerdem Daten zum Sexualleben oder der sexuellen Orientierung 

Für wen die Datenschutz-Grundverordnung gilt

Die Datenschutz-Grundverordnung gilt für alle, die nicht privat personenbezogene Daten verarbeiten. Also zum Beispiel Behörden, Vereine, Unternehmen usw. 

Wenn Sie jetzt also Ihre Hochzeit oder Ihren nächsten Geburtstag feiern wollen, dann müssen Sie keine Angst haben, dass die DSGVO greift. 

Spielregeln

Die DSGVO gibt quasi die Spielregeln im Umgang mit personenbezogenen Daten vor. Darin stehen die Gründe für eine erlaubte Datenverarbeitung. Sie glauben gar nicht wie viele Gesetze eine Datenverarbeitung erlauben!

Ein sehr erschreckendes und aktuelles Beispiel hierfür ist die Idee von Bundesgesundheitsminister Spahn. Dieser möchte die Gesundheitsdaten, von gesetzlich Versicherten der Forschung zur Verfügung zu stellen. So ein Gesetz würde dann die Datenverarbeitung erlauben. Auch wenn so eine Verarbeitung aus Sicht des Datenschutzes natürlich ein absoluter Albtraum ist!

Was gibt es sonst noch für Spielregeln?

Die DSGVO gibt ein paar weitere Gründe für die Verarbeitung von personenbezogenen Daten vor.

Dazu gehört unter anderem ein berechtigtes Interesse des Verantwortlichen. Also der Behörde, des Unternehmens, des Vereins usw., die bzw. der die Daten verarbeitet … aber auch die Einwilligung der betroffenen Person gehört zu diesen Gründen, die die DSGVO gibt. 

Wenn also keine Erlaubnis aus dem Gesetz da ist, dann haben Sie immer noch die Möglichkeit eine Einwilligung der betroffenen Person einzuholen. Ein Beispiel hierfür sind Newsletter.

Außerdem regelt die DSGVO unter anderem noch die technischen und organisatorischen Anforderungen an eine sichere Datenverarbeitung. Das sind die sogenannten "technisch-organisatorischen-Sicherheitsmaßnahmen", kurz TOM. Sie schreiben unter anderem vor, dass personenbezogene Daten wiederhergestellt werden können müssen, in bestimmten Fällen aber beispielsweise auch eine Verschlüsselung. In der DSGVO heißt es außerdem, das diese Sicherheitsmaßnahmen implementiert werden müssen "... um ein dem Risiko angemessenes Schutzniveau zu gewährleisten". Das bedeutet also, dass je höher das Risiko ist, das von einem möglichen Missbrauch der personenbezogenen Daten für die betroffenen Personen ausgeht, desto besser müssen diese geschützt werden (Art. 32 Abs. 1 DSGVO).

Bußgelder?

Eine Neuerung der DSGVO ist die Höhe der Bußgelder. Auch der Schadensersatz an die betroffene Person ist neu. Dieser bemisst sich aus materiellem und immateriellem Schaden.

Mittlerweile erlaubt die DSGVO Bußgelder von bis zu 20.000.000 EUR bzw. 4% des weltweiten Umsatzes eines Unternehmens aus dem vorausgegangenen Geschäftsjahr.

Vor der DSGVO betrugen die Bußgelder max. 50.000 EUR. Solche Bußgelder können mittlerweile also richtig weh tun.

Wir beraten Sie zu allen Fragen der DSGVO und verwandten Themen. Nehmen Sie hier Kontakt auf.

Brauchen Sie einen externen Datenschutzbeauftragten?

Und wann muss überhaupt ein externer Datenschutzbeauftragter bestellt werden?

Das Bundesdatenschutzgesetz verpflichtet nicht-öffentliche Stellen, die personenbezogene Daten verarbeiten, zur Bestellung eines betrieblichen Datenschutzbeauftragten. Unter bestimmten im BDSG genannten Voraussetzungen entfällt die Pflicht zur Bestellung eines Datenschutzbeauftragten. Wer entgegen den gesetzlichen Vorschriften keinen Datenschutzbeauftragten bestellt, muss mit einem Bußgeld von bis zu 50.000 Euro rechnen (§ 43 Abs. 1 Nr. 2 i.V.m. Abs. 3 S. 1 BDSG).

Die EU-Datenschutzgrundverordnung (EU-DSGVO), die ab Mai 2018 das Bundesdatenschutzgesetz weitgehend ablöst, schränkt diese Pflicht zur Bestellung eines Datenschutzbeauftragten für Unternehmen ein. Nach Art. 37 EU-DSGVO sind u.a. nur noch Unternehmen zur Bestellung eines Datenschutzbeauftragten verpflichtet, deren "Kerntätigkeit" in einer Datenverarbeitung besteht, die eine "umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich" macht oder deren "Kerntätigkeit" in der Verarbeitung besonders sensibler Daten (bspw. Gesundheitsdaten) besteht.

Die Vorschrift des Art. 37 EU-DSGVO erhält allerdings in Absatz 4 eine Öffnungsklausel dahingehend, dass die einzelnen Mitgliedstaaten eine Pflicht zur Bestellung eines Datenschutzbeauftragten auf der Grundlage eigener, nationaler Vorschriften vorsehen können. Da in Deutschland die Erfahrungen mit der unternehmensinternen Selbstkontrolle durch Datenschutzbeauftragte in den letzten Jahrzehnten positiv waren, ist es möglich, dass die bisher bestehende Regelung dann übernommen wird und insoweit alles bei Alten bleibt.

Wir möchten Sie bei der Beantwortung der Frage, ob Sie nach bisher noch geltendem Recht einen Datenschutzbeauftragten bestellen müssen, unterstützen.

Beantworten Sie die folgenden Fragen - in wenigen Schritten sind Sie bereits am Ziel.

> DSB-Check starten <

 

Rechtlicher Hinweis

Der PrivCom-DSB-Check ist lediglich ein Werkzeug zur Selbsteinschätzung. Fragen zum DSB-Check oder zur gesetzlichen Verpflichtung zur Bestellung eines Datenschutzbeauftragten richten Sie bitte an die E-Mail-Adresse dsb-check@privcom.de. Eine verbindliche Auskunft, ob Ihr Unternehmen einen Datenschutzbeauftragten benennen muss, kann Ihnen nur die für Sie zuständige Datenschutzaufsichtsbehörde erteilen. Welche Aufsichtsbehörde für Sie zuständig ist, erfahren Sie beim virtuellen Datenschutzbüro: www.datenschutz.de

PrivCom Datenschutz GmbH, Hamburg, im Juni 2014