Die Corona App

Es ist schon viel über die sogenannte Corona App geschrieben worden. Ein anderer Ausdruck ist Kontakte-Tracing App – im Kern geht es um eine technische Lösung für den Wunsch, möglichst schnell möglichst viele Covid-19 Infizierte zu identifizieren und deren Kontaktpersonen vor Ansteckung zu schützen. Die Meinungen über die Nützlichkeit der App gehen teilweise weit auseinander. Sie reichen - grob zusammengefasst - von

zu glauben, man könne das Problem technisch lösen ist naiv technikgläubig und bringt unser aller Grundrechte in Gefahr“

bis zu

„sofort machen, und keine Rücksicht auf Datenschutz“.

Ich verlinke hier zwei von zahlreichen Artikeln, die ich mir im Zusammenhang mit der Diskussion gespeichert habe. Zum Thema Rechtsgrundlage gibt es hier einen Artikel von Malte Engeler, dessen Einschätzung ich teile. Mit dem aktuellen Stand der Entwicklung der App beschäftigt sich dieser Beitrag von Fabian A. Scherschel bei heise.de.

Rechte betroffener Personen (Art. 15 DSGVO)

Vor ein paar Wochen fragte mich ein Freund, wie dass denn nun eigentlich ginge, wenn er wissen wolle, welche Firmen welche Daten über ihn verarbeiten. Dieser Freund hatte erfahren, dass ich bei der PrivCom Datenschutz GmbH arbeite. Ich hatte mich aus diesem Grund näher mit der Datenschutz-Grundverordnung (DSGVO), die ja das zentrale Gesetz zum Thema Datenschutz ist, beschäftigt.

Die Rechte betroffener Personen nach der DSGVO

Ich erklärte ihm seine Rechte an folgendem Beispiel: Die Firma „Pflegeelfen“ verarbeitet personenbezogene Daten von Ihnen. Die Pflegeelfen vermittelt Pflegefachkräfte. 

Damit diese an Sie vermittelt werden können, brauchen die Pflegeelfen verschiedene Informationen von Ihnen. Dazu gehören zum Beispiel Ihr Name, Ihr Geburtsdatum, Ihre Anschrift, Ihre Mailadresse, Ihre Telefonnummer, Gesundheitsdaten und noch einige andere. 

Nach einiger Zeit fragen Sie sich, welche Ihrer Daten genau von den Pflegeelfen verarbeitet werden. 

Art. 15 DSGVO

Dazu können Sie nun ein Schreiben an die Pflegeelfen aufsetzen und unter anderem um folgende Informationen ersuchen: 

  1. Welche personenbezogenen Daten konkret (zum Beispiel Name, Geburtsdatum, medizinische Diagnosen, Anschrift, Beruf …) verarbeitet werden;
  2. Welche Kategorien von personenbezogenen Daten verarbeitet werden;
  3. Empfänger bzw. Kategorien von Empfängern, die diese Daten bereits erhalten haben oder künftig noch erhalten werden;
  4. Zu welchem Zweck die Daten erhoben und gespeichert werden;
  5. Die geplante Speicherdauer bzw. die Kriterien für die Feststellung der Speicherdauer;
  6. Die Herkunft der Daten;
  7. Falls eine Datenübermittlung in Drittländer stattfindet, welche Garantien gemäß Art. 46 DSGVO vorgesehen sind.

Doch was bedeutet das konkret? 

Kategorien von personenbezogenen Daten sind zum Beispiel allgemeine Personendaten. Dazu gehören Name, Geburtsdatum, Anschrift, Mailadresse, Telefonnummer etc. Aber auch Kennnummern, so wie die Krankenversichertennummer, sind eine Kategorie. 

Empfänger sind Personen, Behörden, Einrichtungen, Dienstleister oder andere Stellen, denen personenbezogene Daten offengelegt werden. 

Die Pflegeelfen in meinem Beispiel haben nun maximal vier Wochen Zeit diese Anfrage zu bearbeiten. Diese Frist kann zwar um weitere zwei Monate verlängert werden, allerdings müssen Sie auch darüber innerhalb von vier Wochen nach Eingang der Anfrage informieren. 

Ansonsten können Sie sich dann an die zuständige Datenschutzaufsichtsbehörde oder eine Anwältin wenden, die die weitere Kommunikation mit dem Unternehmen für Sie regelt. Spätestens dann wird den meisten Unternehmen klar, dass das Ganze kein Witz war, sondern durchaus ernst. Wichtig: die Kosten der Anwältin muss anschließend das Unternehmen tragen, das keine Auskunft gegeben hat. 

Welche Rechte gibt es noch? 

Mit dem Ersuchen um Auskunft ist es aber noch nicht getan. Ganz am Anfang der Erhebung der Daten müssen Sie weitere, allgemeine Informationen erhalten:

  1. Die Kontakdaten des/der Datenschutzbeauftragten (sofern vorhanden);
  2. Informationen zum Zweck der Datenverarbeitung;
  3. Die Erlaubnis für die Datenverarbeitung (Rechtsgrundlage);
  4. Bei welcher Stelle Sie sich beschweren können, falls Sie einen unrechtmäßigen Umgang mit Ihren Daten vermuten.

Die Informationen müssen präzise, transparent, verständlich und leicht zugänglicher Form an die betroffene Person gegeben werden. Darüberhinaus müssen Sie in leichter Sprache zugänglich gemacht werden, insbesondere, wenn sich die Information an Kinder richten. 


Datenschutz in Europa - darauf sollten Sie sich vorbereiten

Brüssel/Hamburg, 23.04.2014.

Die EU kommt ihrer neuen Datenschutzgrundverordnung langsam, aber sicher, näher. Dr. Bettina Kähler von der PrivCom Datenschutz GmbH rät Unternehmern, sich schon jetzt über die Grundzüge der geplanten Veränderungen zu informieren, um mittelfristig die eigenen Prozesse in Bezug auf den Umgang mit personenbezogenen Daten sinnvoll planen zu können.
Am 12. März wurde ein ca. 120 Seiten langer Entwurf der Datenschutzgrundverordnung (DSGVO) vom EU-Parlament verabschiedet, der jetzt dem Ministerrat und der Europäischen Kommission zur weiteren Diskussion vorliegt. Im Anschluss an die Europawahl am 25. Mai werden die Gespräche hierzu aufgenommen.

Die 1995 verfasste Rechtsgrundlage zum Datenschutz innerhalb Europas wird also in absehbarer Zeit durch das längst überfällige Reformpaket ersetzt. Schon jetzt zeichnet sich ein großer Konsens innerhalb der EU ab: Bei der Abstimmung im März gab es unter den insgesamt 653 Abgeordneten mit 621 Ja-Stimmen bereits eine deutliche Mehrheit. Auch wenn sich nationale Interessen im weiteren Prozess bemerkbar machen werden (Großbritannien etwa möchte eine grundsätzlich liberale Datenschutzpolitik durchsetzen, um die ansässigen Unternehmen vor Kosten zu schützen; Deutschland hingegen will den öffentlichen Sektor stärker vom Datenschutz ausnehmen), so steht der grundsätzliche Kurs doch inzwischen fest.

Das sind die geplanten Änderungen

Durch die Neuregelung soll einerseits der Schutz von personenbezogenen Daten verbessert und zum anderen auch der Datenverkehr innerhalb der EU erleichtert werden. Für Unternehmen sind zwei Punkte zentral: Der rechtmäßige Umgang mit dem Thema Datenschutz und die Strafe bei Zuwiderhandlung.

Die Sanktionen bei Verstößen gegen das Datenschutzgesetz werden sich in jedem Fall verschärfen. Das bisherige Bußgeld von maximal 300.000 Euro steigt im aktuellen Entwurf auf eine Höchststrafe von 100 Millionen Euro bzw. 5 % des Jahresumsatzes eines Unternehmens. Diese Strafen sind durchaus mit denen zu vergleichen, die bei Kartellrechtsverstößen anfallen. Unternehmen werden dadurch gezwungen, regelmäßige Compliance-Audits durchzuführen, um dem Risiko hoher Strafen entsprechend entgegen zu treten.
Auch werden die Aufsichtsbehörden enorm gestärkt: Wenn Unternehmen in Zukunft dazu verpflichtet werden, im Vorfeld einer geplanten Datenverarbeitung eine Risikoanalyse und die datenrechtliche Folgenabschätzung zu erstellen, kann die zuständige Aufsichtsbehörde diese Datenverarbeitung bei Gesetzesverstößen sogar bereits im Vorfeld untersagen.

Außerdem werden sich einige grundsätzliche Verfahrensbedingungen ändern: War bislang für ein Unternehmen noch die Zahl derjenigen Mitarbeiter (nämlich mehr als 9), die mit personenbezogenen Daten in Berührung kommen, entscheidend für die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten, so wird in Zukunft die Anzahl der personenbezogenen Datensätze hierüber entscheiden. Der Entwurf sieht vor, dass ein Datenschutzbeauftragter bestellt werden muss, wenn in einem Jahr mindestens 5.000 Datensätze verarbeitet werden. Auch verantwortliche Stellen, die besonders sensible Datenverarbeitung betreiben, müssen einen Datenschutzbeauftragten bestellen. Abzuwarten bleibt dabei noch, ob IP-Adressen nicht mehr als personenbezogene Daten eingestuft werden. Die Diskussion hierum ist nach wie vor groß.

Die DSGVO sieht ebenfalls vor, dass interne Datenschutzrichtlinien und geeignete Maßnahmen von Unternehmen entwickelt (und diese auch alle 2 Jahre erneuert) werden müssen.

Schließlich ist ein Verbandsklagerecht geplant. Durch dieses könnten sich Daten verarbeitende Unternehmen vermehrt gerichtlichen Auseinandersetzungen gegenüber sehen.

Kontakt:
PrivCom Datenschutz GmbH / Dr. Bettina Kähler / Telefon: 040 48409010 / E-Mail: info@privcom.de

Leitbild

Datenschutz und Informationssicherheit:
Verpflichtung, Herausforderung – und Chance.

Der sensible Umgang mit personenbezogenen Daten und durchdachte Standards in der Informationssicherheit sind keine unternehmerische Kür mehr: Der Schutz und die Sicherheit von Daten aller Art im Alltagsgeschäft werden immer stärker zu wesentlichen Qualitätsmerkmalen von Unternehmen.

Wir unterstützen und beraten Unternehmen und öffentliche Stellen in allen Fragen des Datenschutzes und der Datensicherheit:

Wir organisieren mit Ihnen auch den Wandel, den die Datenschutz-Grundverordnung mit sich bringt und unterstützen Sie bei der Anpassung Ihrer Prozesse an deren Anforderungen.

Bei unserem professionellen Handeln verstehen wir uns als faire und loyale Partner unserer Auftraggeber. Wir unterstützen unsere Kunden bei der Bewältigung der aktuellen und zukünftigen Herausforderungen des Datenschutzes und der Informationssicherheit. Wir legen Wert auf beständige Geschäftsbeziehungen zu unseren Kunden und ebenso zu unseren Partnern.

Unser Unternehmen wurde im Jahr 2002 in Hamburg gegründet; von dort aus arbeiten wir noch immer schwerpunktmäßig.

Personenbezogene Daten

Das Recht auf informationelle Selbstbestimmung als Ausprägung des allgemeinen Persönlichkeitsrechts schützt Daten natürlicher Personen.

§ 3 Abs. 1 BDSG definiert - in Übereinstimmung mit den Landesdatenschutzgesetzen - personenbezogene Daten als "Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)."

Daten juristischer Personen werden nicht durch das Datenschutzrecht geschützt.

Im Hinblick auf die Feststellung des Bundesverfassungsgerichts im Volkszählungsurteil, dass es unter den Bedingungen der modernen Datenverarbeitung kein belangloses Datum gibt, kennt das Datenschutzrecht keine unwichtigen Daten. Geschützt sind vielmehr sämtliche Informationen über eine Person: Name, Geburtstag, Familienstand und Beruf genauso wie  Daten über Vertrags- und Eigentums- und Wohnverhältnisse, oder auch das Surfverhalten im Internet.

"Bestimmt" ist eine Person, wenn sie mit den zu ihr gespeicherten Daten eindeutig zu identifizieren ist. Zu den Bestimmungsdaten zählen neben Namen und Anschrift auch Sozialversicherungsnummer, Ausweisnummern, Konto- und Tefefonnummern, Personalnummern, Kfz-Kennzeichen.

Daten sind auch dann personenbezogen, wenn die Person zwar nicht direkt oder eindeutig durch die Daten identifiziert wird, die Zuordnung jedoch indirekt, ggf. durch Verwendung zusätzlicher Informationen, vorgenommen werden kann. Dabei ist irrelevant, auf welche Weise die Bezugsperson identifiziert werden kann. Entscheidend ist allein die Möglichkeit einer Zuordnung.

Für die Bestimmbarkeit der Person ist darauf abzustellen, ob unter realistischen Annahmen die Möglichkeit besteht, die Daten ohne unzumutbaren Aufwand auf eine natürliche Personen zurückzuführen. Dabei sind auch die Befugnisse und Möglichkeiten Dritter einzubeziehen. Wenn z. B. eine nicht-öffentliche Stelle aufgrund begrenzter Verarbeitungskapazitäten und Zugriffsmöglichkeiten selbst nicht dazu in der Lage ist, ein Datum einer Person zuzuordnen, jedoch andere Stellen, mit denen geschäftliche Kontakte bestehen oder hergestellt werden können, diese Zuordnung vornehmen könnten, ist das betreffende Datum personenbezogen. Gleiches gilt für den Fall, dass staatliche Stellen (z. B. Finanz- und Strafermittlungsbehörden) im Rahmen ihrer Kompetenzen die Möglichkeit haben, die Daten einzelnen Personen zuzuordnen.

Ein Personenbezug ist auch dann gegeben, wenn die Daten zwar zunächst nicht mit Sicherheit einer einzelnen Person, sondern einem Kreis von Personen (etwa einer Familie, den Bewohnern eines Hauses, einer Dienststelle) zuzuordnen ist, wenn jedoch durch zusätzliche Ermittlungen herausgefunden werden kann, um wessen Daten es sich handelt. Dies gilt zum Beispiel für den Fall, dass mehrere Familienangehörige oder Firmenmitarbeiter einen Telefonanschluss oder einen Personalcomputer nutzen.

DSB-Check - Bitte beantworten Sie die folgende Frage:

Sind mehr als neun Arbeitnehmer mit der automatisierten Erhebung, Verarbeitung oder Nutzung der personenbezogenen Daten beschäftigt (dabei sind diejenigen Personen zu berücksichtigen, die regelmäßig Zugang zu diesen Daten haben; dazu gehören sämtliche Arbeitnehmer, die mit der Verarbeitung personenbezogener Daten beschäftigt sind. Dazu gehören auch Teilzeitkräfte und Leiharbeitnehmer)?

Beispiele: Ein Unternehmen beschäftigt zwei Mitarbeiter bei der automatisierten Lohnbuchhaltung. Ein Angestellter führt auf dem Computer die Kundendatei, auf die außerdem ein Außendienstmitarbeiter zugreifen kann. Der Computer wird von einem Studenten auf Basis eines geringfügigen Beschäftigungsverhältnisses administriert, der auch auf die personenbezogenen Daten zugreifen kann.

ja   nein

DSB-Check - Bitte beantworten Sie die folgende Frage:

Sind mit der Verarbeitung der personenbezogenen Daten besondere Risiken für die Rechte und Freiheiten der Betroffenen verbunden?

Beispiele: Es werden "besondere Arten personenbezogener Daten" gem. § 3 Abs. 9 BDSG verarbeitet, etwa Angaben, die der ärztlichen Schweigepflicht unterliegen; Listen der Personen, die kirchensteuerpflichtig sind; Daten über den Gesundheitszustand, die im Rahmen eines Betreuungsverhältnisses erhoben werden.

ja   nein

DSB-Check - Ergebnis

Sie gehören zu den wenigen Unternehmen, die keinerlei personenbezogene Daten verarbeiten. Da sich die Datenschutzgesetze auf den Schutz von Daten natürlicher Personen beziehen, müssen Sie auch keinen Datenschutzbeauftragten benennen.

Sofern sich hieran etwas ändert und Sie personenbezogene Daten verarbeiten wollen, stehen wir Ihnen selbstverständlich zur Verfügung.

 

Rechtlicher Hinweis

Der PrivCom-DSB-Check ist lediglich ein Werkzeug zur Selbsteinschätzung. Fragen zum DSB-Check oder zur gesetzlichen Verpflichtung zur Bestellung eines Datenschutzbeauftragten richten Sie bitte an die E-Mail-Adresse dsb-check@privcom.de. Eine verbindliche Auskunft, ob Ihr Unternehmen einen Datenschutzbeauftragten benennen muss, kann Ihnen nur die für Sie zuständige Datenschutzaufsichtsbehörde erteilen. Welche Aufsichtsbehörde für Sie zuständig ist, erfahren Sie beim virtuellen Datenschutzbüro: www.datenschutz.de

DSB-Check - Bitte beantworten Sie die folgende Frage:

Erheben, verarbeiten oder nutzen Sie als nicht-öffentliche Stelle (Unternehmen, Verein, Selbständiger usw.) personenbezogene Daten?

Beispiele: Adressen von Kunden, Daten von Mitarbeitern und Lieferanten, Patientendaten

ja   nein