DSGVO: der Schutz von personenbezogenen Daten im Unternehmen

09.06.20
DSGVO Datenschutz im Unternehmen

Die DSGVO ist schon zwei Jahre alt! Das ist eine gute Gelegenheit, um sich die wichtigsten Regeln, die für alle Unternehmen in Bezug auf die Verarbeitung von personenbezogenen Daten gelten, wieder in Erinnerung zu rufen. Seit Inkrafttreten der europäischen Verordnung zum Schutz der personenbezogenen Daten, der sogenannten Datenschutz-Grundverordnung (kurz „DSGVO„) am 25.05.2020 müssen sich alle europäischen Unternehmen unabhängig von ihrer Größe mit diesem Text in Übereinstimmung bringen. Die DSGVO stärkt den Schutz der personenbezogenen Daten, der in Frankreich bis zum 25.05.2018 vom französischen Datenschutzgesetz (Loi Informatique et Libertés) vom 06.01.1978 geregelt wurde. Die Verordnung entspricht der europäischen Politik zur Stärkung des Schutzes von personenbezogenen Daten, welcher es den Bürgern insbesondere erlaubt, die Bedeutung dieser Information besser zu verstehen. In Zeiten des Big Data sind die personenbezogenen Daten in der Tat das neue schwarze Gold geworden.

Dass die DSGVO bei ihrer Verabschiedung für so viel Aufsehen gesorgt hat, liegt vor allem an den harten Strafen, die für Unternehmen bei Nichtbeachtung der Pflichten vorgesehen sind. In der Tat kann die französische Datenschutzbehörde (Commission nationale de l’informatique et des libertés, CNIL) eine Verwaltungsstrafe von bis zu 20 Millionen Euro oder 4 % des jährlichen weltweiten Umsatzes gegenüber dem Verantwortlichen und/oder dem Auftragsverarbeiter aussprechen (DSGVO, Art. 83 § 4 und 5). Für Unternehmen ist es also wichtig zu verstehen, in welchem Rahmen die DSGVO anwendbar ist und welche Regeln einzuhalten sind.

Was sind personenbezogene Daten im Sinne der DSGVO?

Die DSGVO erweitert den Begriff der personenbezogenen Daten im Vergleich zur Definition von 1978 im französischen Datenschutzgesetz (loi Informatique et Libertés). Die Verordnung definiert personenbezogene Daten als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“ (DSGVO, Art. 4 § 1). Der Sinn des Testes besteht darin, den weitgehendsten Schutz der Grundrechte und -freiheiten der Personen zu gewährleisten, so dass der Begriff der personenbezogenen Daten sehr weit auszulegen ist.

Alle Informationen, die es erlauben, eine Person zu identifizieren, sind möglicherweise von der Verordnung geschützt. Dies ist der Fall, wenn es möglich ist, die Identität einer Person anhand der Korrelation von mehreren Informationen erhalten, welche einen solchen Rückschluss ermöglichen. Diese Informationen können sich direkt auf die Person beziehen, wie zum Beispiel:

  • Name,
  • Postanschrift,
  • E-Mail-Adresse.

Die Informationen können indirekt sein, wie zum Beispiel:

  • Telefonnummer,
  • Kfz-Kennzeichen,
  • Hotelzimmer,
  • IP-Adresse des Computers,
  • mehrere unbedeutende Informationen, deren Abgleich Rückschlüsse auf eine Person ermöglicht.

Selbst Informationen, die sich nur im weitesten Sinne auf die Person beziehen, sind im Sinne der DSGVO personenbezogene Daten. Diese Informationen können von jeder Art sein und sich auf jeder Art von Datenträger befinden (z.B. USB-Stick, externe oder interne Festplatte, Chip, Papierdokument…).

Im Gegensatz dazu gewährt die DSGVO keinen Schutz für anonyme Daten sowie für anonymisierte Daten, für die ein Verfahren durchgeführt wurde, um die Verbindung zwischen den Daten und der betroffenen Person zu löschen.

Vorsicht: Seit dem Inkrafttreten der DSGVO sind personenbezogene Daten, die Gegenstand einer Pseudonymisierung waren, jedoch geschützt.
Nur Informationen in Bezug auf eine natürliche Person werden von der DSGVO geschützt. Da natürliche Personen, unabhängig von ihrer Staatsangehörigkeit oder ihrem Wohnort, als lebende oder lebensfähige Personen definiert werden (DSGVO, § 14), sind Informationen in Bezug auf juristische Personen oder verstorbene Personen vom Datenschutz ausgenommen.

Was ist unter der Verarbeitung von personenbezogenen Daten zu verstehen?

Der Begriff der Verarbeitung von „personenbezogenen“ Daten wurde ebenfalls im Vergleich mit dem bisherigen geltenden französischen Recht von der DSGVO erweitert.
Die DSGVO bezeichnet die Verarbeitung von personenbezogenen Daten als „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten“ (Art. 14 § 2 der DSGVO).

Die DSGVO ist auf eine große Anzahl an Verarbeitungsverfahren anwendbar, wie das Erheben, das Erfassen, das Abfragen, die Verwendung, die Verbreitung oder eine andere Form der Bereitstellung, das Löschen oder die Vernichtung. Das Aussondern wird ebenfalls als eine Verarbeitung von personenbezogenen Daten betrachtet, was vor Inkrafttreten der Verordnung nicht der Fall war. Da die Verarbeitung auch mit oder ohne Hilfe automatisierter Verfahren stattfinden kann, findet die DSGVO auch Anwendung auf eine Verarbeitung in Papierform. Die Archive eines Unternehmens, selbst wenn sie in einer Ecke verstauben, zählen zu den verarbeiteten personenbezogenen Daten!

Zum Beispiel: Wenn ein Unternehmen für:

  • die Lieferung,
  • die Rechnungsstellung,
  • den Versand von Informationen und Werbung

personenbezogene Daten über seine Kunden, die natürliche Personen sind, nutzt und verwaltet, führt es Verarbeitungen von personenbezogenen Daten aus, welche den Regelungen der DSGVO unterliegen.

Auf welche geografische Zone findet die DSGVO Anwendung?

Die DSGVO ist in zwei Fällen anwendbar:

  • Wenn der Verantwortliche für die Datenverarbeitung eine Betriebsstätte in einem Mitgliedstaat der Europäischen Union besitzt, wie beispielsweise eine Tochtergesellschaft, eine Zweigniederlassung oder auch ein Büro; oder
  • Wenn die Verarbeitung eine natürliche Person betrifft, die sich auf europäischem Hoheitsgebiet befindet, unabhängig davon, ob der Verantwortliche für die Datenverarbeitung innerhalb oder außerhalb der EU sitzt.

Wie ist die Verarbeitung von personenbezogenen Daten durchzuführen?

Bevor das Unternehmen eine Verarbeitung von personenbezogenen Daten durchführt, muss die betroffene Person zunächst die Einwilligung für den oder die Zwecke, welche diese Verarbeitung verfolgt, geben. Es handelt sich also um einen Schutz von personenbezogenen Daten für Privatpersonen.

Der Verantwortliche für die Datenverarbeitung trägt in diesem Fall zwei große Verantwortungen:

Zuweisung der Mittel

Er muss die Zwecke bestimmt haben und notwendige finanzielle, personelle und materielle Mittel für die Umsetzung der Verarbeitung zuweisen (Art. 4 § 7 DSGVO) und die Verarbeitung ordnungsgemäß durchführen. Im Fall eines Verstoßes gegen die von der DSGVO festgelegten Regelungen kann er zivil- und strafrechtlich zur Haftung gezogen werden. Es ist also ratsam, einen Verantwortlichen zur Datenverarbeitung zu bestellen, der über bestimmte Befugnisse im Unternehmen verfügt. Ein Auftragsverarbeiter kann damit beauftragt werden, die personenbezogenen Daten im Rahmen einer Dienstleistung im Auftrag des Verantwortlichen zu verarbeiten (z.B. Anwälte, Informatikdienstleister für Hosting oder Wartung und Gesellschaften für IT-Sicherheit, die mit Juristen arbeiten).

Information der nationalen Behörden

Er muss die nationalen Kontrollbehörden, die für den Schutz der personenbezogenen Daten zuständig sind, innerhalb von höchstens 72 Stunden ab Kenntnisnahme einer Verletzung des Schutzes personenbezogener Daten informieren. Die Haftung des Auftragsverarbeiters ist der des Verantwortlichen der Datenverarbeitung sehr ähnlich, so dass bei Hinzuziehen eines Auftragsverarbeiters empfohlen wird, diesen sehr sorgfältig auszuwählen.
Die erhobenen Daten können vom Verantwortlichen der Datenverarbeitung an verschiedene Einrichtungen übertragen werden, unabhängig davon, ob das Gesetz ausdrücklich erlaubt, dass sie diese erhalten, oder nicht. Die Staatskasse, die Richter und die Kriminalpolizei sind von einem Gesetzestext insbesondere dazu befugt, bestimmte Informationen zu empfangen.

Wer ist der DPO?

Der Datenschutzbeauftragte (Data Protection Officer oder DPO) ist eine Person innerhalb oder außerhalb des Unternehmens, deren Aufgabe es ist, regelmäßig die Konformität der laut DSGVO durchgeführten Verarbeitungen zu überwachen. Zu diesem Zweck muss er über bedeutende juristische Kenntnisse im Bereich des Schutzes von personenbezogenen Daten verfügen. Die Empfehlungen, die er ausspricht, können vom Verantwortlichen der Datenverarbeitung befolgt werden oder nicht. Der DPO trifft keine Entscheidungen. Er kann im Fall eines Verstoßes gegen die Regelungen grundsätzlich nicht zur Haftung gezogen werden.

Die Benennung eines Datenschutzbeauftragten durch den Verantwortlichen und den Auftragsverarbeiter ist in den drei Fällen, die in Art. 37 § 1 DSGVO genannt werden, verpflichtend:

  • Die Verarbeitung wird von einer Behörde oder öffentlichen Stelle durchgeführt;
  • Die Kerntätigkeit des Verantwortlichen macht eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich;
  • Die Kerntätigkeit des Verantwortlichen besteht in der umfangreichen Verarbeitung sensibler Daten (z.B. Gesundheitsdaten von Krankenhäusern) oder von personenbezogenen Daten über strafrechtliche Verurteilungen.

Auch wenn der DPO in den anderen Fällen nicht zwingend ist, wird sehr dazu geraten, einen zu benennen, insbesondere wenn die notwendigen juristischen Kenntnisse und IT-Kenntnisse innerhalb des Unternehmens nicht vorhanden sind.

Welche Maßnahmen sind zum Schutz personenbezogener Daten zu ergreifen?

Die wichtigsten Maßnahmen, die für den Schutz von personenbezogenen Daten zu ergreifen sind, sind zum Beispiel die folgenden:

  • Erstellen eines Registers zur Auflistung der Verarbeitungen von personenbezogenen Daten. Dieses Register muss für jede vom Unternehmen ausgeübte Tätigkeit, den verfolgten Zweck, die verwendeten Kategorien personenbezogener Daten, die Personen mit Zugang zu den Daten und die Speicherfrist enthalten. Die frz. Datenschutzbehörde CNIL stellt auf ihrer Website ein Modell für dieses Register zur Verfügung;
  • Aussortieren der erhobenen Daten;
  • Information und Transparenz gegenüber den Personen, deren personenbezogene Daten verarbeitet werden, mithilfe eines Formulars zur Erhebung von personenbezogenen Daten, eines Verweises auf eine Datenschutzrichtlinie oder auch spezifischen Klauseln in den Verträgen;
  • Möglichkeit für die Personen, ihre Rechte einfach auszuüben, durch die Einführung eines internen Vorgangs zur schnellen Bearbeitung der Anfragen oder im Fall einer Website durch ein spezielles Kontaktformular, eine Telefonnummer oder eine dazu bestimmte E-Mail-Adresse;
  • Gewährleistung der Datensicherung.

Welche Rechte haben die geschützten Personen?

Es müssen verschiedene Rechte der von der Verarbeitung ihrer personenbezogenen Daten betroffenen Personen beachtet werden, insbesondere ein Recht auf Information, ein Auskunftsrecht und Recht auf Kommunikation der Informationen, ein begrenztes Recht auf Berichtigung und Löschung der Informationen. Um das Recht auf Information zu beachten, hat der Verantwortliche der Datenverarbeitung die Aufgabe, diesen Personen eine umfangreiche Liste mit Informationen, die in Art. 13 und 14 der DSGVO genannt werden, zu übermitteln. Dazu zählen insbesondere der mit der Verarbeitung verfolgte Zweck, die berechtigten Interessen des Verantwortlichen der Datenverarbeitung und die Rechte der betroffenen Person.

Im Fall eines Verstoßes gegen die DSGVO können die betroffenen Personen sich an die ordentlichen Gerichte, die Verwaltungsgerichte oder die Datenschutzbehörde wenden, um den Verantwortlichen der Datenverarbeitung und/oder den Auftragsverarbeiter haftbar zu machen.

Die Aufgabe der Datenschutzbehörde

Die französische Datenschutzbehörde CNIL überwacht die Einhaltung der DSGVO in Frankreich. Diese Aufgabe führt sie auf unterschiedliche Weisen aus:

  • Beschwerden für Privatpersonen erheben, die der Auffassung sind, dass der Schutz ihrer personenbezogenen Daten verletzt wurde;
  • Meldung der Unternehmen, in denen ein Verstoß stattfand;
  • Eröffnung von Kontrollverfahrung, oft nach Branchen. Branchen, die viele sensible Daten verarbeiten, werden am meisten kontrolliert und müssen somit besonders aufmerksam sein bei der Einhaltung der DSGVO.

Die Deutschen neigen eher dazu, eine Beschwerde einzureichen, als die Franzosen. Aber wenn die CNIL eine Strafe verhängt, dann ist sie recht streng. Falls Ihr Unternehmen also noch nicht alle Maßnahmen ergriffen hat, um die DSGVO einzuhalten, dann sollte dies besser spät als nie getan werden.

Fragen und Antworten zum Schutz von personenbezogenen Daten im Unternehmen

Was ist die DSGVO?

Die DSGVO ist eine europäische Verordnung, die am 25.05.2018 in Kraft getreten ist und deren Ziel die Harmonisierung der Unternehmenspraxis im Bereich der Nutzung und des Schutzes personenbezogener Daten innerhalb der Europäischen Union ist.

Wer muss die DSGVO einhalten?

Die DSGVO findet Anwendung auf alle Organisationen, privat oder öffentlich, unabhängig von deren Größe, die personenbezogene Daten handhaben. Die DSGVO findet Anwendung auf alle Organisationen, die im Hoheitsgebiet der Europäischen Union ansässig sind, sowie auf alle Organisationen außerhalb der EU, die personenbezogene Daten von Europäern verarbeiten.
Die DSGVO findet als insbesondere Anwendung auf Unternehmen, Vereine und Zulieferer.

Welche Artikel der Datenschutz-Grundverordnung sind maßgeblich?

Der Datenschutz wird von der Verordnung auf verschiedene Weisen geschützt. Dieser Schutz wird der betroffenen Person mit den folgenden Maßnahmen gewährleistet:

  • Recht auf Information und auf Zugang zu den personenbezogenen Daten (Artikel 13, 14 15 der DSGVO);
  • Recht auf Berichtigung und auf Löschung (Artikel 16, 17 ,18 und 19 der DSGVO);
  • Widerspruchsrecht und automatisierte Entscheidungsfindung im Einzelfall (Artikel 21 und 22 der DSGVO).

Wie sind personenbezogenen Daten zu schützen?

Der Verantwortliche für die Verarbeitung von personenbezogenen Daten muss die Sicherheit der von ihm besessenen personenbezogenen Daten gewährleisten. Der Grad der Sicherung hängt von der Sensitivität der Daten und den möglichen Folgen im Fall des Verlusts oder des unerlaubten Zugriffs auf die Daten ab.
Diese Sicherung kann insbesondere ausgeführt werden durch:

  • regelmäßige Aktualisierung der Antivirus-Software und der restlichen Software;
  • regelmäßiges Ändern der Passörter und Nutzung komplexer Passwörter;
  • Verschlüsselung der Daten in bestimmten Situationen;
  • Prüfung der Herkunft der E-Mails und Vorsicht bei Anlagen oder Links von unbekannten Absendern;
  • Verwaltung der im Internet hinterlassenen Spuren, beispielsweise durch Blockieren der Cookies;
  • Nutzung eines virtuellen Netzwerks (VPN), etc.

Françoise Berton, französische Rechtsanwältin

Alle Urheberrechte vorbehalten

Bild: sdecoret

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht.

* Pflichtangabe

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Sie haben eine rechtliche Frage zu diesem Thema und benötigen einen Anwalt?