Skip to main content

Datenschutz im Unternehmen (Teil 1): Das müssen Sie beachten

Ab dem 25.05.2018 gilt europaweit die EU-Datenschutz-Grundverordnung (DS-GVO). Auch das Bundesdatenschutzgesetz (BDSG) tritt dann in seiner neuen Version in Kraft. RA Dirk Stapel erklärt Ihnen, was Sie beachten müssen und welche Auswirkungen das auf Ihr Unternehmen hat.

© Weissblick /stock.adobe.com

Auch derzeit gibt es natürlich schon gesetzliche Vorschriften zum Datenschutz. Auch jetzt bestehen insbesondere bereits Regeln zur Datenverarbeitung und -speicherung sowie Dokumentationspflichten (§ 4 G Abs. 2 und 2a BDSG). Nach meiner Einschätzung werden diese Pflichten in zumindest einigen Unternehmen bislang jedenfalls nicht in vollem Umfang erfüllt.

Darüber hinaus gibt es auch schon jetzt 29! verschiedene Bußgeldtatbestände im BDSG.

In der DS-GVO sind Artikel 5 und Artikel 6 die entscheidenden Artikel, die sich mit erlaubter Datenverarbeitung befassen. Die in Artikel 5 genannten Prinzipien stellen nicht nur gesetzliche Vorgaben dar, sondern sollten auch in der Praxis stets im Blick behalten werden, damit man überhaupt erst ein Gefühl dafür entwickeln kann, was Datenschutz bedeutet und welche Ziele Datenschutz verfolgt.

 

Auswirkungen

Was ändert sich für die Unternehmen konkret? Eine der wichtigsten Neuerungen ist die Einführung der Rechenschaftspflicht nach Artikel 5 Abs. 2 DS-GVO:

Danach sind Unternehmen verpflichtet, die Einhaltung der DS-GVO nachzuweisen. Hieraus ergeben sich verstärkte Dokumentations- und Nachweispflichten:

  1. Die Führung eines Verzeichnisses von Verarbeitungstätigkeiten
  2. Die Durchführung von Datenschutz-Folgenabschätzungen
  3. Die Dokumentation von Datenschutzvorfällen

Bereits unter dem derzeit geltenden BDSG gibt es die Verpflichtung zur Führung eines Verfahrensverzeichnisses (§ 4g Abs. 2, 2a BDSG). Die Unternehmen, die ein derartiges Verfahrensverzeichnis bereits geführt haben, können es als Grundlage des nunmehr zu führenden Verzeichnisses nach § 5 Abs. 2 DS-GVO verwenden. Das nunmehr zu führende Verzeichnis wird als “Verzeichnis aller Verarbeitungstätigkeiten mit personenbezogenen Daten“ benannt. Dieses Verzeichnis betrifft sämtliche - auch teilweise - automatisierten Verarbeitungen sowie nicht automatisierte Verarbeitungen personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Soweit in Artikel 30 Abs. 2 DS-GVO ausgeführt ist, dass Arbeitgeber mit weniger als 250 Mitarbeitern kein derartiges Verzeichnis führen müssen, ist dies sicherlich missverständlich, da es hiervon Ausnahmen gibt. Die wesentliche Ausnahme ist die, dass auch Arbeitgeber mit weniger als 250 Mitarbeitern ein entsprechendes Verzeichnis führen müssen, wenn nicht nur gelegentlich personenbezogene Daten verarbeitet werden. Dies dürfte aus meiner Sicht letztendlich immer der Fall sein, da zumindest Mitarbeiterdaten verarbeitet werden, teilweise aber auch Daten von Kunden oder Geschäftspartnern.

Soweit nunmehr auch eine Verpflichtung zur Dokumentation von Datenschutzvorfällen begründet wird, komme ich hierauf zu einem späteren Zeitpunkt zurück.

 

Was haben die Unternehmen nun zu veranlassen?

Das (hoffentlich) bestehende Datenschutzkonzept ist anhand eines Ist-Soll-Vergleichs zu aktualisieren. Unternehmen, die derzeit noch kein Datenschutzkonzept haben, haben es insoweit natürlich ungleich schwerer, da in diesen Fällen nicht ein bereits bestehendes Konzept angepasst, sondern ein komplett neues Konzept implementiert werden muss. Ein „Ist-Soll-Vergleich“ scheitert dann schon daran, dass es kein „Ist“ gibt!

Die Verarbeitung personenbezogener Daten findet im Regelfall in 3 Bereichen eines Unternehmens statt, nämlich

  • im organisatorischen Bereich
  • im rechtlichen Bereich
  • und im technischen Bereich

Im Unternehmen sollte ein Team gebildet werden, dem die Aufgabe der Erstellung oder Überarbeitung des Datenschutzkonzepts übertragen wird. Dem Team sollte jeweils mindestens 1 Mitarbeiter der vorstehend genannten Bereiche angehören.

Das Team kann dann in 3 zeitlich aufeinanderfolgenden Schritten arbeiten:

  1. Zunächst muss eine Bestandsaufnahme erfolgen.
  2. Danach ist der Handlungsbedarf zu erarbeiten.
  3. Im dritten Schritt erfolgt dann die Umsetzung.

 

Wie kann die Bestandsaufnahme erfolgen?

Es sollten die aktuell realisierten Rahmenbedingungen aller Datenverarbeitungen analysiert werden.

  1. Wo werden im Unternehmen überall personenbezogene Daten verarbeitet und in welchen Prozessen erfolgt dies? Liegt bereits ein Verfahrensverzeichnis oder eine Dokumentation vor, kann hierauf zurückgegriffen werden, anderenfalls ist ein entsprechendes Verzeichnis zu erstellen.
  2. Stellen Sie fest, ob die dazugehörenden Rechtsgrundlagen (nach bisherigem Recht) bestehen, also beispielsweise gesetzliche Regelungen oder Einwilligung der betroffenen Personen.
  3. Wie ist der Datenschutz im Unternehmen bislang (hoffentlich) organisiert ist? Konkret muss hier also festgestellt werden, welche Vorkehrungen und Maßnahmen im Unternehmen zum Schutz personenbezogener Daten derzeit getroffen werden.
  4. Stellen Sie fest, ob Dienstleistungsbeziehungen, wie etwa Verträge über eine Auftragsdatenverarbeitung bestehen.
  5. Stellen Sie fest, wie derzeit im Bereich des Datenschutzes dokumentiert wird, ob also z.B. Verfahrensverzeichnisse bestehen, Vorabkontrollen durchgeführt werden, Datenschutz- oder IT-Sicherheitskonzepte vorliegen, Sicherheitsvorfälle dokumentiert werden.

Wie dann auf dieser Basis der Handlungsbedarf zu erarbeiten ist und dieser dann umzusetzen ist, erfahren Sie in unserem zweiten Teil. Schon die Bestandsaufnahme wird eine gewisse Zeit in Anspruch nehmen und sollte dementsprechend, sofern noch nicht damit begonnen wurde, kurzfristig in Angriff genommen werden.

Dirk Stapel
Rechtsanwalt
Fachanwalt für Arbeitsrecht

d.stapel@rae-schoenbeck-stapel.de


 

Grundbegriffe in der Datenschutzgrundvererordnung

⇒Personenbezogene Daten

Nach § 3 Abs. 1 BDSG sind personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Einzelangaben über persönliche oder sachliche Verhältnisse sind beispielsweise:

  • Name, Alter, Familienstand, Geburtsdatum

  • Anschrift, Telefonnummer, personalisierte E-Mail-Adresse

  • Konto-, Kreditkartennummer

  • Kraftfahrzeugnummer, Kfz-Kennzeichen

  • Personalausweisnummer, Sozialversicherungsnummer

  • Vorstrafen

  • genetische Daten und Krankendaten

  • Werturteile wie zum Beispiel Zeugnisse

Kundendaten gehören ebenso zu den personenbezogenen Daten wie die Personaldaten von Beschäftigten. Personenbezogene Kundendaten sind beispielsweise Namen von Ansprechpartnern oder E-Mail-Kontaktdaten.

Um Angaben über eine bestimmte Person handelt es sich, wenn die Daten mit dem Namen der betroffenen Person verbunden sind oder sich aus dem Inhalt bzw. dem Zusammenhang der Bezug unmittelbar herstellen lässt. Bestimmbar ist eine Person, wenn ihre Identität unmittelbar oder mittels Zusatzwissen festgestellt werden kann.

Die Angaben müssen sich auf einen lebenden Menschen beziehen. Einzelangaben über juristische Personen, wie zum Beispiel Kapitalgesellschaften oder eingetragene Vereine, sind keine personenbezogenen Daten. Etwas anderes gilt nur, wenn sich die Angaben auch auf die hinter der juristischen Person stehenden Personen beziehen, das heißt auf sie „durchschlagen“. Dies kann beispielsweise bei der GmbH einer Einzelperson oder bei einer Einzelfirma der Fall sein, wenn enge finanzielle, persönliche oder wirtschaftliche Verflechtungen zwischen der natürlichen und der juristischen Person bestehen.

Verarbeitung

Gemäß § 3 Abs. 4 Bundesdatenschutzgesetz ist das Verarbeiten das

  • Speichern,

  • Verändern,

  • Übermitteln,

  • Sperren

  • und Löschen

personenbezogener Daten.

Prinzipien der Datenverarbeitung

Artikel 5 Abs. 1 a-f stellt die Prinzipien (also die Kernelemente des Gesetzes) wie folgt dar:

  1. Transparenz: Die Verarbeitung personenbezogener Daten muss für Betroffenen nachvollziehbar sein.

  2. Zweckbindung: Unternehmen sollen Daten nur für den Zweck verarbeiten, für den sie erhoben worden sind. Das heißt, man muss sich bereits zu Beginn von Verarbeitungsprozessen Gedanken machen, wofür die Daten benötigt werden und dies dokumentieren.

  3. Datenminimierung: Unternehmen müssen die Verarbeitung von personenbezogenen Daten auf das dem Verarbeitungszweck notwendige Maß beschränken.

  4. Richtigkeit: Unternehmen müssen dafür sorgen, dass die personenbezogenen Daten korrekt sind. Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, müssen unverzüglich gelöscht oder berichtigt werden.

  5. Speicherbegrenzung: Unternehmen dürfen personenbezogenen Daten nur solange speichern, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist

  6. Integrität und Vertraulichkeit: Daten müssen durch technische und organisatorische Maßnahmen vor unbefugter Verarbeitung, Zerstörung, Veränderung oder Verlust geschützt werden.

Erlaubnistatbestände

Der zweite entscheidende Artikel der DS-GVO ist Artikel 6. Dieser regelt, dass die Verarbeitung nur dann rechtmäßig ist, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

  1. Einwilligung

  2. Zweck der Vertragserfüllung/vorvertragliche Maßnahme

  3. Erfüllung einer rechtlichen Pflicht des Verantwortlichen

  4. Schutz lebenswichtiger Interessen

  5. Aufgaben im Bereich der öffentlichen Sicherheit

  6. Wahrung berechtigter Interessen, Erforderlichkeit und Abwägung der Verhältnismäßigkeit

 

 


Mitgliedertreffen von Sebastian Schultz, Martin Kujawa

Die Zukunft gestalten: durch Dialog, mit Qualität und Weitblick

Am 14. November kamen wieder zahlreiche Mitglieder zur Herbstversammlung des FORUM nach Berlin. Diese stand ganz unter dem Motto, wie wir eine verlässliche Zukunft gestalten können. In einem kurzen Bericht blicken wir auf einen spannenden Tag zurück und fassen die Highlights zusammen.

Weiterlesen
Sommersitzung der Impulsschmiede

Ein äußerst produktives und zugleich hoch unterhaltsames Arbeitstreffen liegt hinter der Impulsschmiede. An der Ostsee diskutieren die Teilnehmer über zwei Tage hinweg zentrale Themen des Verbandes. Dabei ging es um die Mitgliederbeiträge im FORUM und in den anderen Verbänden und um die Außengestaltung von Spielhallen. Insbesondere die Arbeitsergebnisse zur Außengestaltung sollen nun bald auch in Branchenprojekte einfließen.

Weiterlesen

In Zeiten, in denen sich global zentrale Debatten rund um das Thema Klimawandel und Klimaschutz bewegen, können auch Sie wertvolle Beiträge zum Schutz unseres Planeten leisten und dabei Kosten in Ihrer Spielhalle einsparen. Wir geben Ihnen fünf Tipps, wie Sie Energie und Kosten einsparen und Ihr Unternehmen ökologischer gestalten.

Weiterlesen
Mitarbeitersuche für Spielhallen

Geeignete Mitarbeiter für seine Spielhalle zu finden, ist gar nicht so leicht. Vor allem für mittelständische Automatenunternehmen, die weder über die Bekanntheit noch die Recruiting-Kapazitäten oder das Budget großer Firmen verfügen, ist die Mitarbeitersuche nicht selten eine Herausforderung. Hier sind 5 Ideen, wie Sie mit einem überschaubaren finanziellen Einsatz gute Mitarbeiter für Ihre Spielhalle finden.

Weiterlesen

Wir im FORUM wissen, dass Qualität und vorausschauendes Management entscheidend sind für den unternehmerischen Erfolg. Ohne den gegenseitigen Austausch von Wissen, Erfahrungen und Ideen geht es dabei nicht. Die Mitgliederversammlungen des FORUM sind dafür die perfekte Plattform. Mitglieder dürfen sich schon heute auf den nächsten Termin am 16. Mai freuen. Anmeldungen sind ab sofort möglich.

Weiterlesen