„DSGVO – sicherer Umgang mit personenbezogenen Daten“

Am 29.07.2020 war das Thüringer Kompetenzzentrum Wirtschaft 4.0, vertreten durch Vanessa Walter, zu Besuch beim DSGVO-Workshop in Jena bei der SpectroNet c / o Technologie- und Innovationspark Jena GmbH. Referent der Veranstaltung war Olaf Graszt, Mitarbeiter der ÜAG gGmbH, ebenfalls in Jena ansässig. Unternehmer und Institutionen der Wirtschaft aus Thüringen nutzten die Chance, sich ausführlich mit Rechten und Pflichten der Verordnung auseinanderzusetzen. Ein interaktiver Workshop ermöglichte einen interessanten Austausch über die Erfahrungen der Beteiligten.

Nachfolgend möchten wir Sie an den vorgestellten Informationen zum Thema Datenschutzgrundverordnung teilhaben lassen und Ihnen einige Auszüge aus der Veranstaltung bereitstellen. Neben einer allgemeinen Einführung in die EU-Datenschutzgrundverordnung berichten wir über Betroffenenrechte und die Datenschutzorganisation.

Bei weiterem Interesse oder Fragen steht Ihnen Herr Graszt gern zur Verfügung: olaf.graszt@ueag-jena.de.

1. EU-DSGVO – Was bedeutet das eigentlich?

Gegenstand und Ziel dieser Verordnung ist ein einheitliches Datenschutzniveau innerhalb der EU. Es besteht folglich auch eine einheitliche Zuständigkeit. Besondere Aufmerksamkeit erhält diese für kleinere und mittlere Unternehmen.

Sachlicher Anwendungsbereich:

Innerhalb der DS-Grundverordnung wurden zu dem Betroffenenrechte gestärkt (Art. 12) Neben dem Recht auf Auskunft, Löschung und Widerspruch werden erstmals Fristen und Modalitäten für die Betroffenen festgelegt.

Datenschutzmanagement

Die DSGVO verpflichtet Unternehmen, ein Datenschutzmanagement einzuführen, das den Schutz der personenbezogenen Daten in Unternehmen sicherstellen soll. Ausschließlich dazu befugte Personen dürfen Zugriff auf Daten haben. Während der Datenschutz hier einen Schwerpunkt auf personenbezogene Daten legt, stehen im Fokus der IT-Sicherheit die technischen Maßnahmen, die diesen Schutz aller Informationen ermöglichen können.

 

Was sind nun sogenannte personenbezogene Daten?

Neben Angaben wie Namen, Adressen, Bilder, Telefonnummern, E-Mail-Adressen, Personalausweisnummer, Geburtstag, Kontodaten, Bankverbindungen, Zeugnisse zählen dazu auch Angaben zur ethnischen Herkunft, politische Meinungen / Zugehörigkeiten, religiöse und weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheitsdaten sowie Informationen zum Sexualleben oder der sexuellen Orientierung einer Person. Neu hinzugekommen sind biometrische und genetische Daten.

 

Einwilligungen – Art. 9 DS-GVO
Die Verarbeitung personenbezogener Daten ist generell verboten, solange sie nicht durch ein Gesetz ausdrücklich erlaubt ist oder der Betroffene in die Verarbeitung eingewilligt hat. Durch die Einwilligung des Betroffenen in die Erhebung, Verarbeitung und/oder Nutzung seiner personenbezogenen Daten, wird der Betroffene in die Lage versetzt, über sein Grundrecht zu verfügen.

Die Einwilligung muss freiwillig, für einen konkreten Fall, nach ausreichender Information des Betroffenen und unmissverständlich abgegeben werden und dem Betroffenen eine echte Wahl lassen. Sie muss an einen oder mehrere bestimmte Zwecke gebunden sein. Außerdem muss in allen Fällen die Möglichkeit zum Widerruf bestehen. Dieser muss genauso leicht ermöglicht werden, wie die Abgabe der Einwilligungserklärung selbst.

 

Auftragsverarbeitung Art. 5 DS-GVO Was ist das eigentlich?
Die Auftragsverarbeitung ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Auftragsverarbeiter gemäß den Weisungen des für die Datenverarbeitung Verantwortlichen auf Grundlage eines Vertrages.

 

Verarbeitungsverzeichnis
Die DSGVO schreibt vor, dass jeder Verantwortliche, der personenbezogene Daten verarbeitet, seine Verarbeitungsvorgänge in einem ausführlichen „Verzeichnis der Verarbeitungstätigkeiten“ dokumentieren muss. Hier muss beschrieben werden, welche Kategorien von Daten gespeichert werden, auf welcher Rechtsgrundlage dies geschieht und wie lange bestimmte Daten gespeichert werden. Zudem muss nachvollziehbar sein, an wen diese personenbezogenen Daten weitergegeben werden und wie sie geschützt werden.

 

TOMs: technisch organisatorische Maßnahmen – Art. 28 + 32 DS-GVO

Technische Maßnahmen beziehen sich auf den Datenverarbeitungsvorgang als technischen Prozess und umfassen alle physischen Maßnahmen wie die Führung von Benutzerkonten, Passworterzwingung, Logins (Protokolldateien), biometrische Identifikationen, Umzäunung des Geländes, Sicherung von Zugängen, bauliche Maßnahmen oder auch Alarmanlagen.

Organisatorische Maßnahmen beziehen sich auf die Rahmenbedingungen des Datenverarbeitungsvorgangs. Sie umfassen betriebliche Regelungen und Handlungsanweisungen, wie zum Beispiel Besucheranmeldung, Arbeitsanweisungen zum Datenschutz, Vier-Augen-Prinzip, Stichprobenprüfungen oder Datenschutzaudits.

Löschkonzept – Das Recht auf Vergessenwerden – Art 5 DS-GVO

Der Artikel 17 DSGVO (Recht auf Löschung, Recht auf Vergessen-werden) nennt mehrere Gründe für das Eintreten einer Löschpflicht, darunter:

• Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
• Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
• Die betroffene Person legt Widerspruch gegen die Verarbeitung ein, und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor.
• Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.

Grundsätzlich können Sie als Unternehmen Ihr Löschkonzept im Rahmen des Gesetzes frei gestalten. Sie sollten jedoch Löschpflichten und Aufbewahrungspflichten berücksichtigen. Verschiedene rechtliche und vertragliche Verpflichtungen führen dazu, dass Unternehmen verpflichtet sind, personenbezogene Daten für eine bestimmte Zeit aufzubewahren. Danach müssen diese gelöscht werden.
Ebenso findet Artikel 18 DSGVO (Recht auf Einschränkung der Verarbeitung) Anwendung. Danach hat die betroffene Person unter bestimmten Bedingungen das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen. Artikel 30 DSGVO (Verzeichnis von Verarbeitungstätigkeiten) sieht vor, dass das Verzeichnis die vorgesehenen Fristen für eine Löschung enthält. Das Löschkonzept muss die Gesamtheit dieser Vorgaben und Verpflichtungen umsetzen.

2. Betroffenenrechte nach EU-DSGVO

Die Betroffenenrechte stellen eine der zentralen Säulen der DSGVO dar. Verstöße werden von den Aufsichtsbehörden daher kritisch gesehen.

Was sind Betroffenenrechte Art. 12?

Betroffenenrechte beschreiben die Rechte der von der Datenverarbeitung betroffenen Personen nach Art. 12 ff. DSGVO.

Diese beinhalten:

• Recht auf Auskunft
• Recht auf Berichtigung und Löschung
• Recht auf Einschränkung der Verarbeitung und Widerspruch

Sie sind die Basis der informationellen Selbstbestimmung und dienen der Information und Transparenz. Klare und eindeutige Rechte der betroffenen Personen gehören daher zu den Grundlagen des Datenschutzes. Art. 12 Abs. 3 DSGVO enthält eine Frist zur Beantwortung von Betroffenenanfragen von maximal einem Monat, wobei in Ausnahmefällen eine Verlängerung um weitere zwei Monate möglich ist.

Transparenz- und Informationspflichten

Das wichtigste Betroffenenrecht ist die Informationspflicht. Informationen sind „Bringschuld“ gegenüber der betroffenen Person. Dazu zählen die Kontaktdaten des Verantwortlichen, der Zweck und die Dauer der Datenverarbeitung. Ferner hat die betroffene Person das Recht, Informationen zu den Empfängern der Daten zu erhalten. Die Rechtsgrundlage der Datenverarbeitung muss transparent sein.

Außerdem gehört auch das Bestehen eines Rechts auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und auf Datenübertragbarkeit zur Informationspflicht. Die genannten Pflichten gelten auch für den Fall, dass die Daten von Dritten erhoben werden.

Informationspflichten nach Art. 12-14 DSGVO müssen grundsätzlich präzise, transparent, verständlich und leicht zugänglich sein. Zudem sind sie in einer einfachen und klaren Sprache zu verschriftlichen und müssen unentgeltlich sein.

Wann hat die Information zu erfolgen?

• Spätestens einen Monat nach Erlangung der Daten
• Spätestens zum Zeitpunkt der ersten Kommunikation mit dem Betroffenen
• Spätestens zum Zeitpunkt der Offenlegung an Dritte
• Sowie erneut, wenn der Zweck sich ändert

Aber: Falls die Daten beim Betroffenen direkt erhoben werden, sofort bei Erhebung.

3. Datenschutzorganisation

Der Datenschutzbeauftragte

Ein Datenschutzbeauftragter ist eine natürliche Person (oder ein Unternehmen), das von einem Unternehmen oder einer öffentlichen Stelle bestellt wird, um die Einhaltung des Datenschutzes sicher zu stellen und zu überwachen.

Voraussetzungen zur Bestellung:

1. Es sind mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt.
2. Die Kerntätigkeit des Unternehmens besteht in der Durchführung von Verarbeitungsvorgängen, die aufgrund ihrer Art, eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen.
3. Die Kerntätigkeit des Unternehmens besteht in der umfangreichen Verarbeitung besonderer Datenkategorien.
4. Das Unternehmen ist verpflichtet, eine sogenannte Datenschutz-Folgenabschätzung durchzuführen.
5. Geschäftsmäßige Verarbeitung personenbezogener Daten zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung.

Dem Datenschutzbeauftragten kommen nach der DSGVO wichtige Aufgaben zu. Er klärt das Unternehmen über bestehende datenschutzrechtliche Pflichten auf und überwacht deren Einhaltung. Außerdem ist er der erste Ansprechpartner sowohl für Behörden und Betroffene, das Verarbeitungsverzeichnis als auch für die Geschäftsführung und Mitarbeiter. Der Datenschutzbeauftragte berät und unterstützt das Unternehmen bei der Durchführung der Datenschutz-Folgenabschätzung nach Art. 35 DSGVO.