Skip to main content

Datenschutz im Unternehmen (Teil 1): Das müssen Sie beachten

Ab dem 25.05.2018 gilt europaweit die EU-Datenschutz-Grundverordnung (DS-GVO). Auch das Bundesdatenschutzgesetz (BDSG) tritt dann in seiner neuen Version in Kraft. RA Dirk Stapel erklärt Ihnen, was Sie beachten müssen und welche Auswirkungen das auf Ihr Unternehmen hat.

© Weissblick /stock.adobe.com

Auch derzeit gibt es natürlich schon gesetzliche Vorschriften zum Datenschutz. Auch jetzt bestehen insbesondere bereits Regeln zur Datenverarbeitung und -speicherung sowie Dokumentationspflichten (§ 4 G Abs. 2 und 2a BDSG). Nach meiner Einschätzung werden diese Pflichten in zumindest einigen Unternehmen bislang jedenfalls nicht in vollem Umfang erfüllt.

Darüber hinaus gibt es auch schon jetzt 29! verschiedene Bußgeldtatbestände im BDSG.

In der DS-GVO sind Artikel 5 und Artikel 6 die entscheidenden Artikel, die sich mit erlaubter Datenverarbeitung befassen. Die in Artikel 5 genannten Prinzipien stellen nicht nur gesetzliche Vorgaben dar, sondern sollten auch in der Praxis stets im Blick behalten werden, damit man überhaupt erst ein Gefühl dafür entwickeln kann, was Datenschutz bedeutet und welche Ziele Datenschutz verfolgt.

 

Auswirkungen

Was ändert sich für die Unternehmen konkret? Eine der wichtigsten Neuerungen ist die Einführung der Rechenschaftspflicht nach Artikel 5 Abs. 2 DS-GVO:

Danach sind Unternehmen verpflichtet, die Einhaltung der DS-GVO nachzuweisen. Hieraus ergeben sich verstärkte Dokumentations- und Nachweispflichten:

  1. Die Führung eines Verzeichnisses von Verarbeitungstätigkeiten
  2. Die Durchführung von Datenschutz-Folgenabschätzungen
  3. Die Dokumentation von Datenschutzvorfällen

Bereits unter dem derzeit geltenden BDSG gibt es die Verpflichtung zur Führung eines Verfahrensverzeichnisses (§ 4g Abs. 2, 2a BDSG). Die Unternehmen, die ein derartiges Verfahrensverzeichnis bereits geführt haben, können es als Grundlage des nunmehr zu führenden Verzeichnisses nach § 5 Abs. 2 DS-GVO verwenden. Das nunmehr zu führende Verzeichnis wird als “Verzeichnis aller Verarbeitungstätigkeiten mit personenbezogenen Daten“ benannt. Dieses Verzeichnis betrifft sämtliche - auch teilweise - automatisierten Verarbeitungen sowie nicht automatisierte Verarbeitungen personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Soweit in Artikel 30 Abs. 2 DS-GVO ausgeführt ist, dass Arbeitgeber mit weniger als 250 Mitarbeitern kein derartiges Verzeichnis führen müssen, ist dies sicherlich missverständlich, da es hiervon Ausnahmen gibt. Die wesentliche Ausnahme ist die, dass auch Arbeitgeber mit weniger als 250 Mitarbeitern ein entsprechendes Verzeichnis führen müssen, wenn nicht nur gelegentlich personenbezogene Daten verarbeitet werden. Dies dürfte aus meiner Sicht letztendlich immer der Fall sein, da zumindest Mitarbeiterdaten verarbeitet werden, teilweise aber auch Daten von Kunden oder Geschäftspartnern.

Soweit nunmehr auch eine Verpflichtung zur Dokumentation von Datenschutzvorfällen begründet wird, komme ich hierauf zu einem späteren Zeitpunkt zurück.

 

Was haben die Unternehmen nun zu veranlassen?

Das (hoffentlich) bestehende Datenschutzkonzept ist anhand eines Ist-Soll-Vergleichs zu aktualisieren. Unternehmen, die derzeit noch kein Datenschutzkonzept haben, haben es insoweit natürlich ungleich schwerer, da in diesen Fällen nicht ein bereits bestehendes Konzept angepasst, sondern ein komplett neues Konzept implementiert werden muss. Ein „Ist-Soll-Vergleich“ scheitert dann schon daran, dass es kein „Ist“ gibt!

Die Verarbeitung personenbezogener Daten findet im Regelfall in 3 Bereichen eines Unternehmens statt, nämlich

  • im organisatorischen Bereich
  • im rechtlichen Bereich
  • und im technischen Bereich

Im Unternehmen sollte ein Team gebildet werden, dem die Aufgabe der Erstellung oder Überarbeitung des Datenschutzkonzepts übertragen wird. Dem Team sollte jeweils mindestens 1 Mitarbeiter der vorstehend genannten Bereiche angehören.

Das Team kann dann in 3 zeitlich aufeinanderfolgenden Schritten arbeiten:

  1. Zunächst muss eine Bestandsaufnahme erfolgen.
  2. Danach ist der Handlungsbedarf zu erarbeiten.
  3. Im dritten Schritt erfolgt dann die Umsetzung.

 

Wie kann die Bestandsaufnahme erfolgen?

Es sollten die aktuell realisierten Rahmenbedingungen aller Datenverarbeitungen analysiert werden.

  1. Wo werden im Unternehmen überall personenbezogene Daten verarbeitet und in welchen Prozessen erfolgt dies? Liegt bereits ein Verfahrensverzeichnis oder eine Dokumentation vor, kann hierauf zurückgegriffen werden, anderenfalls ist ein entsprechendes Verzeichnis zu erstellen.
  2. Stellen Sie fest, ob die dazugehörenden Rechtsgrundlagen (nach bisherigem Recht) bestehen, also beispielsweise gesetzliche Regelungen oder Einwilligung der betroffenen Personen.
  3. Wie ist der Datenschutz im Unternehmen bislang (hoffentlich) organisiert ist? Konkret muss hier also festgestellt werden, welche Vorkehrungen und Maßnahmen im Unternehmen zum Schutz personenbezogener Daten derzeit getroffen werden.
  4. Stellen Sie fest, ob Dienstleistungsbeziehungen, wie etwa Verträge über eine Auftragsdatenverarbeitung bestehen.
  5. Stellen Sie fest, wie derzeit im Bereich des Datenschutzes dokumentiert wird, ob also z.B. Verfahrensverzeichnisse bestehen, Vorabkontrollen durchgeführt werden, Datenschutz- oder IT-Sicherheitskonzepte vorliegen, Sicherheitsvorfälle dokumentiert werden.

Wie dann auf dieser Basis der Handlungsbedarf zu erarbeiten ist und dieser dann umzusetzen ist, erfahren Sie in unserem zweiten Teil. Schon die Bestandsaufnahme wird eine gewisse Zeit in Anspruch nehmen und sollte dementsprechend, sofern noch nicht damit begonnen wurde, kurzfristig in Angriff genommen werden.

Dirk Stapel
Rechtsanwalt
Fachanwalt für Arbeitsrecht

d.stapel@rae-schoenbeck-stapel.de


 

Grundbegriffe in der Datenschutzgrundvererordnung

⇒Personenbezogene Daten

Nach § 3 Abs. 1 BDSG sind personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Einzelangaben über persönliche oder sachliche Verhältnisse sind beispielsweise:

  • Name, Alter, Familienstand, Geburtsdatum

  • Anschrift, Telefonnummer, personalisierte E-Mail-Adresse

  • Konto-, Kreditkartennummer

  • Kraftfahrzeugnummer, Kfz-Kennzeichen

  • Personalausweisnummer, Sozialversicherungsnummer

  • Vorstrafen

  • genetische Daten und Krankendaten

  • Werturteile wie zum Beispiel Zeugnisse

Kundendaten gehören ebenso zu den personenbezogenen Daten wie die Personaldaten von Beschäftigten. Personenbezogene Kundendaten sind beispielsweise Namen von Ansprechpartnern oder E-Mail-Kontaktdaten.

Um Angaben über eine bestimmte Person handelt es sich, wenn die Daten mit dem Namen der betroffenen Person verbunden sind oder sich aus dem Inhalt bzw. dem Zusammenhang der Bezug unmittelbar herstellen lässt. Bestimmbar ist eine Person, wenn ihre Identität unmittelbar oder mittels Zusatzwissen festgestellt werden kann.

Die Angaben müssen sich auf einen lebenden Menschen beziehen. Einzelangaben über juristische Personen, wie zum Beispiel Kapitalgesellschaften oder eingetragene Vereine, sind keine personenbezogenen Daten. Etwas anderes gilt nur, wenn sich die Angaben auch auf die hinter der juristischen Person stehenden Personen beziehen, das heißt auf sie „durchschlagen“. Dies kann beispielsweise bei der GmbH einer Einzelperson oder bei einer Einzelfirma der Fall sein, wenn enge finanzielle, persönliche oder wirtschaftliche Verflechtungen zwischen der natürlichen und der juristischen Person bestehen.

Verarbeitung

Gemäß § 3 Abs. 4 Bundesdatenschutzgesetz ist das Verarbeiten das

  • Speichern,

  • Verändern,

  • Übermitteln,

  • Sperren

  • und Löschen

personenbezogener Daten.

Prinzipien der Datenverarbeitung

Artikel 5 Abs. 1 a-f stellt die Prinzipien (also die Kernelemente des Gesetzes) wie folgt dar:

  1. Transparenz: Die Verarbeitung personenbezogener Daten muss für Betroffenen nachvollziehbar sein.

  2. Zweckbindung: Unternehmen sollen Daten nur für den Zweck verarbeiten, für den sie erhoben worden sind. Das heißt, man muss sich bereits zu Beginn von Verarbeitungsprozessen Gedanken machen, wofür die Daten benötigt werden und dies dokumentieren.

  3. Datenminimierung: Unternehmen müssen die Verarbeitung von personenbezogenen Daten auf das dem Verarbeitungszweck notwendige Maß beschränken.

  4. Richtigkeit: Unternehmen müssen dafür sorgen, dass die personenbezogenen Daten korrekt sind. Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, müssen unverzüglich gelöscht oder berichtigt werden.

  5. Speicherbegrenzung: Unternehmen dürfen personenbezogenen Daten nur solange speichern, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist

  6. Integrität und Vertraulichkeit: Daten müssen durch technische und organisatorische Maßnahmen vor unbefugter Verarbeitung, Zerstörung, Veränderung oder Verlust geschützt werden.

Erlaubnistatbestände

Der zweite entscheidende Artikel der DS-GVO ist Artikel 6. Dieser regelt, dass die Verarbeitung nur dann rechtmäßig ist, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

  1. Einwilligung

  2. Zweck der Vertragserfüllung/vorvertragliche Maßnahme

  3. Erfüllung einer rechtlichen Pflicht des Verantwortlichen

  4. Schutz lebenswichtiger Interessen

  5. Aufgaben im Bereich der öffentlichen Sicherheit

  6. Wahrung berechtigter Interessen, Erforderlichkeit und Abwägung der Verhältnismäßigkeit

 

 


von Maximilian H. Karg - Referent Politik

Bundestagsabgeordneter Benjamin Strasser zu Besuch bei Kling Automaten

Im Rahmen des Programms „Praxis für Politik“ des Bundesverbands der Dienstleistungswirtschaft (BDWi) und des FORUM der Automatenunternehmer e.V. besuchte der Bundestagsabgeordnete Benjamin Strasser (FDP) die Geschäftsstelle des Mitgliedsunternehmens Kling Automaten GmbH sowie einen Spielhallenstandort in seinem Wahlkreis Ravensburg.

Weiterlesen

Das OVG NRW hat jetzt im Rahmen eines Eilverfahrens in II. Instanz entschieden, dass ein Spielhallenbetreiber, dessen Antrag auf Erteilung einer glückspielrechtlichen Erlaubnis nur deshalb abgelehnt wurde, weil innerhalb des Mindestabstandes ein Mitbewerber zum Zuge kam, den Betrieb zunächst einmal geöffnet halten darf, bis die Auswahlentscheidung der Behörde gerichtlich überprüft wurde.

Weiterlesen

von Sebastian Schultz

Wirksamer Spieler- und Jugendschutz an Autobahnen

Anfang dieses Jahres hat der Dachverband Die Deutsche Automatenwirtschaft die Initiative ergriffen, um den Jugend- und Spielerschutz beim gewerblichen Betrieb von Geldspielgeräten in allen Autobahnraststätten und Autohöfen konsequent zu verbessern. Der beschlossene Maßnahmenkatalog soll bis zum 10. November 2018 umgesetzt sein.

Weiterlesen

Als einziges Bundesland in der BRD betreibt Hessen mit dem System OASIS ein flächendeckendes Sperrsystem. Nun wurden, unter der Leitung Herrn Dr. Tobias Hayers, die Ergebnisse der ersten groß angelegten Evaluation veröffentlicht.

Weiterlesen

Diesen Samstag, am 30.06.2018 jährt sich das Inkrafttreten des Glücksspieländerungsstaatsvertrags von 2012 bzw. das Ende der 5-jährigen Übergangsfrist desselbigen.

Weiterlesen