[accordion autoclose=“true“ openfirst=“false“ openall=“false“ clicktoclose=“true“]
[accordion-item title=“1. Warum ist der 25.05.2018 aus datenschutzrechtlicher Sicht wichtig?“]
Die Datenschutzgrundverordnung gilt ab diesem Tag in ganz Europa und löst viele bisherige nationale Regelungen zum Datenschutzrecht ab. In Kraft getreten ist die Verordnung bereits am 25.05. 2016.
[/accordion-item]
[accordion-item title=“2.a. Wie werden „Daten“ eigentlich in Deutschland geschützt?“]
Es kommt auf die Art der Daten an.
Personenbezogene Daten werden durch das Datenschutzrecht, also insbesondere die DSGVO, BDSG-neu und das TKG geschützt. Besondere Geheimnisse, z.B. das Arztgeheimnis oder das Rechtsanwaltsgeheimnis werden durch die entsprechenden Berufsordnungen etabliert; ein unbefugtes Offenbaren ist strafrechtlich durch § 203 StGB (Verletzung von Privatgeheimnissen) sanktioniert. Geschäfts- und Betriebsgeheimnisse von Unternehmen werden durch § 17 UWG geschützt. Ein allgemeines Recht an Daten jenseits derartiger Regelungen gibt es bislang nicht.
[/accordion-item]
[accordion-item title=“2.b. Was haben die ärztliche Schweigepflicht, personenbezogene Daten und Geschäfts-und Betriebsgeheimnisse gemeinsam?“]
Es handelt sich um Informationen, die durch bestimmte Normen besonders vor einen unbefugten Offenbaren oder unrechtmäßigem Verarbeiten geschützt werden; entsprechende Handlungen werden sanktioniert. Beispiele: § 203 StGB (Verletzung vor Privatgeheimnissen), Art. 82 DSGVO (Haftung und Recht auf Schadensersatz), § 17 UWG (Verrat von Geschäfts- und Betriebsgeheimnissen).
[/accordion-item]
[accordion-item title=“3. Gibt es ein Dateneigentum in Deutschland?“]
Nein, momentan gibt es kein gesetzliches Eigentumsrecht an Daten in Deutschland. Es gibt verschiedene juristische Ansätze, wie ein solches Eigentumsrecht hergeleitet werden könnte, aber eine explizite Regelung ist nicht vorhanden. Ein durchsetzbarer Schutz kann derzeit vor allem durch Abschluss von Verträgen, z.B. Datenlizenzverträgen oder Datennutzungsverträgen, herbeigeführt werden, in denen die genauen Bedingungen für den Zugriff und die (Weiter-)Verarbeitung von Daten vereinbart werden können. Allerdings gelten diese Verträge immer nur zwischen den jeweiligen Vertragspartnern und können keinen Schutz vor Handlungen Dritter gewährleisten.
[/accordion-item]
[accordion-item title=“4. Was schützt eigentlich das ‚Datenschutzrecht‘?“]
Hierunter wird vor allem der Schutz personenbezogener Daten vor einer unrechtmäßigen Verarbeitung durch den Verantwortlichen oder durch Dritte verstanden.
Zu unterscheiden ist der Begriff von der Daten- oder Informationssicherheit. Bei Datensicherheit geht es um den Schutz des Datenbestandes vor Zerstörung, Beschädigung, Verlust, usw., und Informationssicherheit zielt darauf ab, die Vertraulichkeit, Verfügbarkeit und Integrität der Informationen zu gewährleisten (Standards hierfür sind die ISO/IEC 27000-Reihe und der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte IT-Grundschutz).
[/accordion-item]
[accordion-item title=“5. Was sind eigentlich personenbezogene Daten?“]
Die gesetzliche Definition vom personenbezogenen Datum findet sich in Art. 4 Nr. 1 DSGVO. Hiernach sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person”) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Auch pseudonymisierte Daten, d.h. Daten, die nur unter Hinzuziehung zusätzlicher Informationen einer bestimmten Person zugeordnet werden können, sind personenbezogene Daten (siehe Erwägungsgrund 26 DSGVO). Anonyme oder anonymisierte Daten fallen hingegen nicht in den Anwendungsbereich der DSGVO, weil sie nicht bzw. nicht mehr auf eine identifizierte oder identifizierbare Person bezogen sind (Erwägungsgrund 26 DSGVO).
[/accordion-item]
[accordion-item title=“6. Gibt es besonders geschützte Arten von personenbezogenen Daten?“]
Ja, die DSGVO kennt die sog. besonderen Kategorien von personenbezogenen Daten (Art. 9 DSGVO), die nur unter bestimmten, größtenteils strengeren Regelungen verarbeitet werden können.
Zu den besonderen Kategorien personenbezogenen Daten zählen personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.
[/accordion-item]
[accordion-item title=“7. Handelt es sich bei folgenden Daten um personenbezogene Daten?“]
a) reine Maschinendaten, z.B. Produktionsdaten
Nein, wenn die Daten nicht weiter mit einer Person, z.B. Beschäftigten, verknüpft werden können; ja, wenn sie mit einem Beschäftigten verknüpft sind, z.B. weil sich der Mitarbeiter einloggen musste und die Daten so auch für eine Verhaltens-und Leistungskontrolle genutzt werden können.
b) GPS-Daten des Lieferanten
Ja, wenn sich durch sie Mitarbeiter ermitteln lassen und möglicherweise ganze Bewegungsprofile von einzelnen Mitarbeitern erstellt werden oder solche Bewegungsprofile mit Schichtplänen, Kalendern, etc. kombiniert werden und dadurch der einzelne Mitarbeiter erkennbar wird.
[/accordion-item]
[accordion-item title=“8. Ich möchte die Laufwege meiner Mitarbeiter/innen im Betrieb optimieren und effizienter gestalten. Kann ich meine Mitarbeiter/innen mit GPS und Sensoren ausstatten, um ihre Bewegungen im Betrieb nachvollziehen zu können?“] Je nachdem, ob hierbei personenbezogene Daten verarbeitet werden und die einzelnen Mitarbeiter/innen durch die Bewegungsdaten ermittelbar werden oder bekannt sind, ist eine Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten notwendig. Möglicherweise könnte eine Rechtfertigung gemäß § 26 Abs. 1 S. 1 BDSG-neu in Betracht kommen, wenn die Datenverarbeitung für die Durchführung oder Beendigung des Beschäftigungsverhältnis oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist. Hier kommt es aber auf die Ausgestaltung der Datenverarbeitung, Art und Umfang, Dauer, technische und organisatorische Schutzmaßnahmen an. Eine komplette, dauerhafte Überwachung der Arbeitnehmer dürfte nicht erforderlich sein. Sofern vorhanden muss der Betriebsrat gemäß § 87 Abs. 1 Nr. 6 BetrVG beteiligt werden und ggf. der betriebliche Datenschutzbeauftrage herangezogen werden. Bei der Ausgestaltung des Verfahrens kann das Risiko für die einzelnen Angestellten durch datenschutzfreundliche Techniken verringert werden. Als Beispiele seien hier etwa die Anonymisierung der erhobenen Daten genannt, aufgrund der die einzelnen Mitarbeiter/innen nicht mehr oder nur mit unverhältnismäßigem Aufwand identifiziert werden können sowie technische und organisatorische Maßnahmen, die eine missbräuchliche Verwendung der Daten zum Nachteil der Arbeitnehmer verhindern.
[/accordion-item]
[accordion-item title=“9. Muss ich in meinem Unternehmen einen betrieblichen Datenschutzbeauftragten beschäftigen?“]
Ja, in den folgenden Fällen:
a)
Wenn die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,
b)
Wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
c)
Wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht. (a-c: Art. 37 DSGVO)
d) Soweit in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden,
e) Wenn Sie Verarbeitungen vornehmen, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder
f) Wenn Sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten. (d-f: § 38 I BDSG-neu in Ergänzung zu Art. 37 DSGVO)
Aber auch wenn keine Verpflichtung zur Bestellung eines betrieblichen Datenschutzbeauftragten besteht, bleibt das Unternehmen als Verantwortlicher für die Einhaltung der DSGVO zuständig.
[/accordion-item]
[accordion-item title=“10. Was sind die Betroffenenrechte?“] Mit dem Begriff „Betroffenenrechte“ sind alle Rechte gemeint, die die DSGVO Betroffenen gegenüber dem Verantwortlichen einräumt, wenn deren personenbezogene Daten verarbeitet werden. Geregelt sind sie in Art. 12 bis 22 DSGVO.
Hierzu gehört zunächst das in Art. 13 und Art. 14 DSGVO verankerte Recht, umfassend über die Datenverarbeitung informiert zu werden. Die Informationspflicht besteht unabhängig von einem Antrag des Betroffenen und muss vielmehr proaktiv bei jeder Erhebung eingehalten werden, sofern keine gesetzliche Ausnahme vorliegt.
Auf der zweiten Ebene stehen die Betroffenenrechte, die eine Geltendmachung durch den Betroffen vorsehen. Hierzu gehört das Recht auf Auskunft aus Art. 15 DSGVO über die beim Verantwortlichen verarbeiteten personenbezogene Daten des Betroffenen. Sofern auch Verfahren zur automatisierten Entscheidungsfindung gemäß Art. 22 DSGVO eingesetzt werden, müssen gem. Art. 15 Abs. 1 lit. h DSGVO aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebte Auswirkungen einer derartigen Verarbeitung für die betroffene Person erteilt werden. Weitere wichtige Betroffenenrechte sind das Recht auf Berichtigung (Art. 16 DSGVO), Löschung, d.h. das neue „Recht auf Vergessenwerden“ (Art. 17 DSGVO) und das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO). Unter bestimmten Voraussetzungen ist auch ein Recht auf Datenübertragbarkeit aus Art. 20 DSGVO relevant.
[/accordion-item]
[accordion-item title=“11. Was ist das VVT?“]
Das Verzeichnis aller Verarbeitungstätigkeiten des Verantwortlichen oder des Auftragsverarbeiters gemäß Art. 30 DSGVO. In diesem Verzeichnis werden alle Verarbeitungstätigkeiten des Verantwortlichen oder des Auftragsverarbeiters aufgelistet und dokumentiert. Das Verzeichnis aller Verarbeitungstätigkeiten soll bei den Nachweis- und Rechenschaftspflichten unterstützen und die Verarbeitungen beim Verantwortlichen transparenter machen.
[/accordion-item]
[accordion-item title=“12. Stimmt es, dass ab dem 25.05.2018 personenbezogene Daten nur noch mit einer Einwilligung des Betroffenen verarbeitet werden dürfen?“]
Nein, die Einwilligung ist lediglich eine mögliche Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten. Neben der Einwilligung zählt Art. 6 Abs. 1 lit. b-f noch andere Möglichkeiten, die eine Datenverarbeitung rechtfertigen können. Eine weitere Rechtsgrundlage besteht etwa in Art. 6 Abs. 1 lit. b DSGVO. Nach ihr dürfen personenbezogene Daten verarbeitet werden, wenn die Datenverarbeitung für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage der betroffenen Person erfolgen (lit. b). Personenbezogene Daten dürfen auch dann verarbeitet werden, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen (lit. f).
Werden besondere Kategorien personenbezogener Daten verarbeitet, ist ebenfalls nicht nur eine ausdrückliche Einwilligung (Art. 9 Abs. 2 lit. a DSGVO) mögliche Rechtsgrundlage. In Abs. lit. b-j finden sich weitere Rechtsgrundlagen. Art. 9 Abs. 2 lit. c DSGVO regelt etwa, dass auch ohne ausdrückliche Einwilligung die Daten verarbeitet werden dürfen, wenn die Verarbeitung zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich und die betroffene Person aus körperlichen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben.
[/accordion-item]
[/accordion]