Skip to main content

Datenschutz im Unternehmen (Teil 1): Das müssen Sie beachten

Ab dem 25.05.2018 gilt europaweit die EU-Datenschutz-Grundverordnung (DS-GVO). Auch das Bundesdatenschutzgesetz (BDSG) tritt dann in seiner neuen Version in Kraft. RA Dirk Stapel erklärt Ihnen, was Sie beachten müssen und welche Auswirkungen das auf Ihr Unternehmen hat.

© Weissblick /stock.adobe.com

Auch derzeit gibt es natürlich schon gesetzliche Vorschriften zum Datenschutz. Auch jetzt bestehen insbesondere bereits Regeln zur Datenverarbeitung und -speicherung sowie Dokumentationspflichten (§ 4 G Abs. 2 und 2a BDSG). Nach meiner Einschätzung werden diese Pflichten in zumindest einigen Unternehmen bislang jedenfalls nicht in vollem Umfang erfüllt.

Darüber hinaus gibt es auch schon jetzt 29! verschiedene Bußgeldtatbestände im BDSG.

In der DS-GVO sind Artikel 5 und Artikel 6 die entscheidenden Artikel, die sich mit erlaubter Datenverarbeitung befassen. Die in Artikel 5 genannten Prinzipien stellen nicht nur gesetzliche Vorgaben dar, sondern sollten auch in der Praxis stets im Blick behalten werden, damit man überhaupt erst ein Gefühl dafür entwickeln kann, was Datenschutz bedeutet und welche Ziele Datenschutz verfolgt.

 

Auswirkungen

Was ändert sich für die Unternehmen konkret? Eine der wichtigsten Neuerungen ist die Einführung der Rechenschaftspflicht nach Artikel 5 Abs. 2 DS-GVO:

Danach sind Unternehmen verpflichtet, die Einhaltung der DS-GVO nachzuweisen. Hieraus ergeben sich verstärkte Dokumentations- und Nachweispflichten:

  1. Die Führung eines Verzeichnisses von Verarbeitungstätigkeiten
  2. Die Durchführung von Datenschutz-Folgenabschätzungen
  3. Die Dokumentation von Datenschutzvorfällen

Bereits unter dem derzeit geltenden BDSG gibt es die Verpflichtung zur Führung eines Verfahrensverzeichnisses (§ 4g Abs. 2, 2a BDSG). Die Unternehmen, die ein derartiges Verfahrensverzeichnis bereits geführt haben, können es als Grundlage des nunmehr zu führenden Verzeichnisses nach § 5 Abs. 2 DS-GVO verwenden. Das nunmehr zu führende Verzeichnis wird als “Verzeichnis aller Verarbeitungstätigkeiten mit personenbezogenen Daten“ benannt. Dieses Verzeichnis betrifft sämtliche - auch teilweise - automatisierten Verarbeitungen sowie nicht automatisierte Verarbeitungen personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Soweit in Artikel 30 Abs. 2 DS-GVO ausgeführt ist, dass Arbeitgeber mit weniger als 250 Mitarbeitern kein derartiges Verzeichnis führen müssen, ist dies sicherlich missverständlich, da es hiervon Ausnahmen gibt. Die wesentliche Ausnahme ist die, dass auch Arbeitgeber mit weniger als 250 Mitarbeitern ein entsprechendes Verzeichnis führen müssen, wenn nicht nur gelegentlich personenbezogene Daten verarbeitet werden. Dies dürfte aus meiner Sicht letztendlich immer der Fall sein, da zumindest Mitarbeiterdaten verarbeitet werden, teilweise aber auch Daten von Kunden oder Geschäftspartnern.

Soweit nunmehr auch eine Verpflichtung zur Dokumentation von Datenschutzvorfällen begründet wird, komme ich hierauf zu einem späteren Zeitpunkt zurück.

 

Was haben die Unternehmen nun zu veranlassen?

Das (hoffentlich) bestehende Datenschutzkonzept ist anhand eines Ist-Soll-Vergleichs zu aktualisieren. Unternehmen, die derzeit noch kein Datenschutzkonzept haben, haben es insoweit natürlich ungleich schwerer, da in diesen Fällen nicht ein bereits bestehendes Konzept angepasst, sondern ein komplett neues Konzept implementiert werden muss. Ein „Ist-Soll-Vergleich“ scheitert dann schon daran, dass es kein „Ist“ gibt!

Die Verarbeitung personenbezogener Daten findet im Regelfall in 3 Bereichen eines Unternehmens statt, nämlich

  • im organisatorischen Bereich
  • im rechtlichen Bereich
  • und im technischen Bereich

Im Unternehmen sollte ein Team gebildet werden, dem die Aufgabe der Erstellung oder Überarbeitung des Datenschutzkonzepts übertragen wird. Dem Team sollte jeweils mindestens 1 Mitarbeiter der vorstehend genannten Bereiche angehören.

Das Team kann dann in 3 zeitlich aufeinanderfolgenden Schritten arbeiten:

  1. Zunächst muss eine Bestandsaufnahme erfolgen.
  2. Danach ist der Handlungsbedarf zu erarbeiten.
  3. Im dritten Schritt erfolgt dann die Umsetzung.

 

Wie kann die Bestandsaufnahme erfolgen?

Es sollten die aktuell realisierten Rahmenbedingungen aller Datenverarbeitungen analysiert werden.

  1. Wo werden im Unternehmen überall personenbezogene Daten verarbeitet und in welchen Prozessen erfolgt dies? Liegt bereits ein Verfahrensverzeichnis oder eine Dokumentation vor, kann hierauf zurückgegriffen werden, anderenfalls ist ein entsprechendes Verzeichnis zu erstellen.
  2. Stellen Sie fest, ob die dazugehörenden Rechtsgrundlagen (nach bisherigem Recht) bestehen, also beispielsweise gesetzliche Regelungen oder Einwilligung der betroffenen Personen.
  3. Wie ist der Datenschutz im Unternehmen bislang (hoffentlich) organisiert ist? Konkret muss hier also festgestellt werden, welche Vorkehrungen und Maßnahmen im Unternehmen zum Schutz personenbezogener Daten derzeit getroffen werden.
  4. Stellen Sie fest, ob Dienstleistungsbeziehungen, wie etwa Verträge über eine Auftragsdatenverarbeitung bestehen.
  5. Stellen Sie fest, wie derzeit im Bereich des Datenschutzes dokumentiert wird, ob also z.B. Verfahrensverzeichnisse bestehen, Vorabkontrollen durchgeführt werden, Datenschutz- oder IT-Sicherheitskonzepte vorliegen, Sicherheitsvorfälle dokumentiert werden.

Wie dann auf dieser Basis der Handlungsbedarf zu erarbeiten ist und dieser dann umzusetzen ist, erfahren Sie in unserem zweiten Teil. Schon die Bestandsaufnahme wird eine gewisse Zeit in Anspruch nehmen und sollte dementsprechend, sofern noch nicht damit begonnen wurde, kurzfristig in Angriff genommen werden.

Dirk Stapel
Rechtsanwalt
Fachanwalt für Arbeitsrecht

d.stapel@rae-schoenbeck-stapel.de


 

Grundbegriffe in der Datenschutzgrundvererordnung

⇒Personenbezogene Daten

Nach § 3 Abs. 1 BDSG sind personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Einzelangaben über persönliche oder sachliche Verhältnisse sind beispielsweise:

  • Name, Alter, Familienstand, Geburtsdatum

  • Anschrift, Telefonnummer, personalisierte E-Mail-Adresse

  • Konto-, Kreditkartennummer

  • Kraftfahrzeugnummer, Kfz-Kennzeichen

  • Personalausweisnummer, Sozialversicherungsnummer

  • Vorstrafen

  • genetische Daten und Krankendaten

  • Werturteile wie zum Beispiel Zeugnisse

Kundendaten gehören ebenso zu den personenbezogenen Daten wie die Personaldaten von Beschäftigten. Personenbezogene Kundendaten sind beispielsweise Namen von Ansprechpartnern oder E-Mail-Kontaktdaten.

Um Angaben über eine bestimmte Person handelt es sich, wenn die Daten mit dem Namen der betroffenen Person verbunden sind oder sich aus dem Inhalt bzw. dem Zusammenhang der Bezug unmittelbar herstellen lässt. Bestimmbar ist eine Person, wenn ihre Identität unmittelbar oder mittels Zusatzwissen festgestellt werden kann.

Die Angaben müssen sich auf einen lebenden Menschen beziehen. Einzelangaben über juristische Personen, wie zum Beispiel Kapitalgesellschaften oder eingetragene Vereine, sind keine personenbezogenen Daten. Etwas anderes gilt nur, wenn sich die Angaben auch auf die hinter der juristischen Person stehenden Personen beziehen, das heißt auf sie „durchschlagen“. Dies kann beispielsweise bei der GmbH einer Einzelperson oder bei einer Einzelfirma der Fall sein, wenn enge finanzielle, persönliche oder wirtschaftliche Verflechtungen zwischen der natürlichen und der juristischen Person bestehen.

Verarbeitung

Gemäß § 3 Abs. 4 Bundesdatenschutzgesetz ist das Verarbeiten das

  • Speichern,

  • Verändern,

  • Übermitteln,

  • Sperren

  • und Löschen

personenbezogener Daten.

Prinzipien der Datenverarbeitung

Artikel 5 Abs. 1 a-f stellt die Prinzipien (also die Kernelemente des Gesetzes) wie folgt dar:

  1. Transparenz: Die Verarbeitung personenbezogener Daten muss für Betroffenen nachvollziehbar sein.

  2. Zweckbindung: Unternehmen sollen Daten nur für den Zweck verarbeiten, für den sie erhoben worden sind. Das heißt, man muss sich bereits zu Beginn von Verarbeitungsprozessen Gedanken machen, wofür die Daten benötigt werden und dies dokumentieren.

  3. Datenminimierung: Unternehmen müssen die Verarbeitung von personenbezogenen Daten auf das dem Verarbeitungszweck notwendige Maß beschränken.

  4. Richtigkeit: Unternehmen müssen dafür sorgen, dass die personenbezogenen Daten korrekt sind. Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, müssen unverzüglich gelöscht oder berichtigt werden.

  5. Speicherbegrenzung: Unternehmen dürfen personenbezogenen Daten nur solange speichern, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist

  6. Integrität und Vertraulichkeit: Daten müssen durch technische und organisatorische Maßnahmen vor unbefugter Verarbeitung, Zerstörung, Veränderung oder Verlust geschützt werden.

Erlaubnistatbestände

Der zweite entscheidende Artikel der DS-GVO ist Artikel 6. Dieser regelt, dass die Verarbeitung nur dann rechtmäßig ist, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

  1. Einwilligung

  2. Zweck der Vertragserfüllung/vorvertragliche Maßnahme

  3. Erfüllung einer rechtlichen Pflicht des Verantwortlichen

  4. Schutz lebenswichtiger Interessen

  5. Aufgaben im Bereich der öffentlichen Sicherheit

  6. Wahrung berechtigter Interessen, Erforderlichkeit und Abwägung der Verhältnismäßigkeit

 

 


Zufriedene Gäste durch die richtige Atmosphäre in Spielhallen

Neben gutem Service und hochwertigen Spielgeräten, ist es auch die richtige Atmosphäre in Spielhallen, die die Gäste in Ihren Bann zieht. Denn wo sich Spielgäste wohlfühlen, verweilen Sie länger. Nicht nur ein optimales Raumklima, sondern auch die richtige Musik oder ein durchdachtes Air Design-Konzept können dabei eine positive Wirkung erzielen. In unserem zweiten Teil zu dem Thema Atmosphäre in Spielhallen geben wir Ihnen weitere Tipps, mit welchen Maßnahmen Sie für ein gemütliches und...

Weiterlesen

von Rechtsanwalt Dirk Stapel

Die verdeckte Videoüberwachung

Videoüberwachung in Spielhallen

Nachdem wir im ersten Teil unserer “Datenschutzreihe“ über die offene Videoüberwachung berichtet haben, befasst sich der nun folgende zweite Teil mit der verdeckten Videoüberwachung, also der Videoüberwachung, die für die überwachten Personen nicht offenkundig erfolgt.

Weiterlesen

Neben einem guten Service und der Qualität Ihrer Spielgeräte zieht vor allem die richtige Atmosphäre in Spielhallen die Menschen in Ihren Bann. Denn wo sich Spielgäste wohlfühlen, verweilen Sie länger, was wiederum direkte Auswirkungen auf den Erfolg Ihres Unternehmens hat. Wie Sie ein gemütliches und gleichzeitig professionelles Ambiente in Ihrer Spielstätte schaffen, verraten wir Ihnen in diesem Artikel.

Weiterlesen
Glücksspielstaatsvertrag: Zeitraum für politische Verhandlungen ist begrenzt

Am 31. Januar 2019 fand die Ministerpräsidentenkonferenz (MPK) in Berlin statt. Ein zentrales Thema war dort der Glücksspielstaatsvertrag. Wir unterrichten Sie über Ergebnisse aus der Sitzung.

Weiterlesen
Die smarte Spielhalle

Warum nur im Eigenheim von der Smart-Home-Technologie profitieren? Grundsätzlich lassen sich die meisten Smart-Home-Komponenten – also vernetzte und miteinander kommunizierende Geräte – auch sinnvoll in Spielhallen einsetzen. Mit einer intelligenten Technik können Sie in Ihrer Spielstätte Energiekosten senken, Arbeitsabläufe vereinfachen und die Sicherheit erhöhen. Wir stellen Ihnen 5 Einsatzbereiche vor, in denen Sie Ihre ersten Schritte in die smarte Spielhalle der Zukunft wagen können.

Weiterlesen