Skip to main content

Datenschutz im Unternehmen (Teil 1): Das müssen Sie beachten

Ab dem 25.05.2018 gilt europaweit die EU-Datenschutz-Grundverordnung (DS-GVO). Auch das Bundesdatenschutzgesetz (BDSG) tritt dann in seiner neuen Version in Kraft. RA Dirk Stapel erklärt Ihnen, was Sie beachten müssen und welche Auswirkungen das auf Ihr Unternehmen hat.

© Weissblick /stock.adobe.com

Auch derzeit gibt es natürlich schon gesetzliche Vorschriften zum Datenschutz. Auch jetzt bestehen insbesondere bereits Regeln zur Datenverarbeitung und -speicherung sowie Dokumentationspflichten (§ 4 G Abs. 2 und 2a BDSG). Nach meiner Einschätzung werden diese Pflichten in zumindest einigen Unternehmen bislang jedenfalls nicht in vollem Umfang erfüllt.

Darüber hinaus gibt es auch schon jetzt 29! verschiedene Bußgeldtatbestände im BDSG.

In der DS-GVO sind Artikel 5 und Artikel 6 die entscheidenden Artikel, die sich mit erlaubter Datenverarbeitung befassen. Die in Artikel 5 genannten Prinzipien stellen nicht nur gesetzliche Vorgaben dar, sondern sollten auch in der Praxis stets im Blick behalten werden, damit man überhaupt erst ein Gefühl dafür entwickeln kann, was Datenschutz bedeutet und welche Ziele Datenschutz verfolgt.

 

Auswirkungen

Was ändert sich für die Unternehmen konkret? Eine der wichtigsten Neuerungen ist die Einführung der Rechenschaftspflicht nach Artikel 5 Abs. 2 DS-GVO:

Danach sind Unternehmen verpflichtet, die Einhaltung der DS-GVO nachzuweisen. Hieraus ergeben sich verstärkte Dokumentations- und Nachweispflichten:

  1. Die Führung eines Verzeichnisses von Verarbeitungstätigkeiten
  2. Die Durchführung von Datenschutz-Folgenabschätzungen
  3. Die Dokumentation von Datenschutzvorfällen

Bereits unter dem derzeit geltenden BDSG gibt es die Verpflichtung zur Führung eines Verfahrensverzeichnisses (§ 4g Abs. 2, 2a BDSG). Die Unternehmen, die ein derartiges Verfahrensverzeichnis bereits geführt haben, können es als Grundlage des nunmehr zu führenden Verzeichnisses nach § 5 Abs. 2 DS-GVO verwenden. Das nunmehr zu führende Verzeichnis wird als “Verzeichnis aller Verarbeitungstätigkeiten mit personenbezogenen Daten“ benannt. Dieses Verzeichnis betrifft sämtliche - auch teilweise - automatisierten Verarbeitungen sowie nicht automatisierte Verarbeitungen personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Soweit in Artikel 30 Abs. 2 DS-GVO ausgeführt ist, dass Arbeitgeber mit weniger als 250 Mitarbeitern kein derartiges Verzeichnis führen müssen, ist dies sicherlich missverständlich, da es hiervon Ausnahmen gibt. Die wesentliche Ausnahme ist die, dass auch Arbeitgeber mit weniger als 250 Mitarbeitern ein entsprechendes Verzeichnis führen müssen, wenn nicht nur gelegentlich personenbezogene Daten verarbeitet werden. Dies dürfte aus meiner Sicht letztendlich immer der Fall sein, da zumindest Mitarbeiterdaten verarbeitet werden, teilweise aber auch Daten von Kunden oder Geschäftspartnern.

Soweit nunmehr auch eine Verpflichtung zur Dokumentation von Datenschutzvorfällen begründet wird, komme ich hierauf zu einem späteren Zeitpunkt zurück.

 

Was haben die Unternehmen nun zu veranlassen?

Das (hoffentlich) bestehende Datenschutzkonzept ist anhand eines Ist-Soll-Vergleichs zu aktualisieren. Unternehmen, die derzeit noch kein Datenschutzkonzept haben, haben es insoweit natürlich ungleich schwerer, da in diesen Fällen nicht ein bereits bestehendes Konzept angepasst, sondern ein komplett neues Konzept implementiert werden muss. Ein „Ist-Soll-Vergleich“ scheitert dann schon daran, dass es kein „Ist“ gibt!

Die Verarbeitung personenbezogener Daten findet im Regelfall in 3 Bereichen eines Unternehmens statt, nämlich

  • im organisatorischen Bereich
  • im rechtlichen Bereich
  • und im technischen Bereich

Im Unternehmen sollte ein Team gebildet werden, dem die Aufgabe der Erstellung oder Überarbeitung des Datenschutzkonzepts übertragen wird. Dem Team sollte jeweils mindestens 1 Mitarbeiter der vorstehend genannten Bereiche angehören.

Das Team kann dann in 3 zeitlich aufeinanderfolgenden Schritten arbeiten:

  1. Zunächst muss eine Bestandsaufnahme erfolgen.
  2. Danach ist der Handlungsbedarf zu erarbeiten.
  3. Im dritten Schritt erfolgt dann die Umsetzung.

 

Wie kann die Bestandsaufnahme erfolgen?

Es sollten die aktuell realisierten Rahmenbedingungen aller Datenverarbeitungen analysiert werden.

  1. Wo werden im Unternehmen überall personenbezogene Daten verarbeitet und in welchen Prozessen erfolgt dies? Liegt bereits ein Verfahrensverzeichnis oder eine Dokumentation vor, kann hierauf zurückgegriffen werden, anderenfalls ist ein entsprechendes Verzeichnis zu erstellen.
  2. Stellen Sie fest, ob die dazugehörenden Rechtsgrundlagen (nach bisherigem Recht) bestehen, also beispielsweise gesetzliche Regelungen oder Einwilligung der betroffenen Personen.
  3. Wie ist der Datenschutz im Unternehmen bislang (hoffentlich) organisiert ist? Konkret muss hier also festgestellt werden, welche Vorkehrungen und Maßnahmen im Unternehmen zum Schutz personenbezogener Daten derzeit getroffen werden.
  4. Stellen Sie fest, ob Dienstleistungsbeziehungen, wie etwa Verträge über eine Auftragsdatenverarbeitung bestehen.
  5. Stellen Sie fest, wie derzeit im Bereich des Datenschutzes dokumentiert wird, ob also z.B. Verfahrensverzeichnisse bestehen, Vorabkontrollen durchgeführt werden, Datenschutz- oder IT-Sicherheitskonzepte vorliegen, Sicherheitsvorfälle dokumentiert werden.

Wie dann auf dieser Basis der Handlungsbedarf zu erarbeiten ist und dieser dann umzusetzen ist, erfahren Sie in unserem zweiten Teil. Schon die Bestandsaufnahme wird eine gewisse Zeit in Anspruch nehmen und sollte dementsprechend, sofern noch nicht damit begonnen wurde, kurzfristig in Angriff genommen werden.

Dirk Stapel
Rechtsanwalt
Fachanwalt für Arbeitsrecht

d.stapel@rae-schoenbeck-stapel.de


 

Grundbegriffe in der Datenschutzgrundvererordnung

⇒Personenbezogene Daten

Nach § 3 Abs. 1 BDSG sind personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Einzelangaben über persönliche oder sachliche Verhältnisse sind beispielsweise:

  • Name, Alter, Familienstand, Geburtsdatum

  • Anschrift, Telefonnummer, personalisierte E-Mail-Adresse

  • Konto-, Kreditkartennummer

  • Kraftfahrzeugnummer, Kfz-Kennzeichen

  • Personalausweisnummer, Sozialversicherungsnummer

  • Vorstrafen

  • genetische Daten und Krankendaten

  • Werturteile wie zum Beispiel Zeugnisse

Kundendaten gehören ebenso zu den personenbezogenen Daten wie die Personaldaten von Beschäftigten. Personenbezogene Kundendaten sind beispielsweise Namen von Ansprechpartnern oder E-Mail-Kontaktdaten.

Um Angaben über eine bestimmte Person handelt es sich, wenn die Daten mit dem Namen der betroffenen Person verbunden sind oder sich aus dem Inhalt bzw. dem Zusammenhang der Bezug unmittelbar herstellen lässt. Bestimmbar ist eine Person, wenn ihre Identität unmittelbar oder mittels Zusatzwissen festgestellt werden kann.

Die Angaben müssen sich auf einen lebenden Menschen beziehen. Einzelangaben über juristische Personen, wie zum Beispiel Kapitalgesellschaften oder eingetragene Vereine, sind keine personenbezogenen Daten. Etwas anderes gilt nur, wenn sich die Angaben auch auf die hinter der juristischen Person stehenden Personen beziehen, das heißt auf sie „durchschlagen“. Dies kann beispielsweise bei der GmbH einer Einzelperson oder bei einer Einzelfirma der Fall sein, wenn enge finanzielle, persönliche oder wirtschaftliche Verflechtungen zwischen der natürlichen und der juristischen Person bestehen.

Verarbeitung

Gemäß § 3 Abs. 4 Bundesdatenschutzgesetz ist das Verarbeiten das

  • Speichern,

  • Verändern,

  • Übermitteln,

  • Sperren

  • und Löschen

personenbezogener Daten.

Prinzipien der Datenverarbeitung

Artikel 5 Abs. 1 a-f stellt die Prinzipien (also die Kernelemente des Gesetzes) wie folgt dar:

  1. Transparenz: Die Verarbeitung personenbezogener Daten muss für Betroffenen nachvollziehbar sein.

  2. Zweckbindung: Unternehmen sollen Daten nur für den Zweck verarbeiten, für den sie erhoben worden sind. Das heißt, man muss sich bereits zu Beginn von Verarbeitungsprozessen Gedanken machen, wofür die Daten benötigt werden und dies dokumentieren.

  3. Datenminimierung: Unternehmen müssen die Verarbeitung von personenbezogenen Daten auf das dem Verarbeitungszweck notwendige Maß beschränken.

  4. Richtigkeit: Unternehmen müssen dafür sorgen, dass die personenbezogenen Daten korrekt sind. Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, müssen unverzüglich gelöscht oder berichtigt werden.

  5. Speicherbegrenzung: Unternehmen dürfen personenbezogenen Daten nur solange speichern, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist

  6. Integrität und Vertraulichkeit: Daten müssen durch technische und organisatorische Maßnahmen vor unbefugter Verarbeitung, Zerstörung, Veränderung oder Verlust geschützt werden.

Erlaubnistatbestände

Der zweite entscheidende Artikel der DS-GVO ist Artikel 6. Dieser regelt, dass die Verarbeitung nur dann rechtmäßig ist, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

  1. Einwilligung

  2. Zweck der Vertragserfüllung/vorvertragliche Maßnahme

  3. Erfüllung einer rechtlichen Pflicht des Verantwortlichen

  4. Schutz lebenswichtiger Interessen

  5. Aufgaben im Bereich der öffentlichen Sicherheit

  6. Wahrung berechtigter Interessen, Erforderlichkeit und Abwägung der Verhältnismäßigkeit

 

 


Das Oberverwaltungsgericht hat für das nordrhein-westfälische Landesrecht geklärt, dass für Errichtung und Betrieb einer Spielhalle nur noch eine Erlaubnis nach dem Glücksspielstaatsvertrag und dem Landesausführungsgesetz erforderlich ist.

Urteil vom 17.04.2018 – 4 A 589/17 –

Weiterlesen

von Maximilian H. Karg

WOCHENRÜCKBLICK KW 15

Jede Woche fassen wir für Sie das Wichtigste aus Politik, Gesellschaft und Branche übersichtliche zusammen.

Weiterlesen

von Sebastian Schultz

3 Fragen an Nick Baldus

Als erfolgreicher Unternehmer leitet Nick Baldus das Familienunternehmen Spiel-In Casino und engagiert sich nebenher auch noch leidenschaftlich im FORUM. Warum er das macht und was seine Ziele sind, das lesen Sie in "3 Fragen an..."

Weiterlesen

Jens Teschke, FORUM-Geschäftsführer, ist persönlich bei einem TÜV-Zertifizierungs-Audit dabei, um sich selbst ein Bild von den Anforderungen, aber auch Nutzen und Vorteilen einer Zertifizierung zu machen.

Weiterlesen

Am 28. März hatte Giesen Automaten OHG Besuch aus den Düsseldorfer Landtag. Dr. Bergmann besichtigte die Spielhalle und diskutierte die Themen TÜV-Zertifizierung und Berufszugang.

Weiterlesen