Berechtigtes Interesse

von

Das berechtigte Interesse

 

Eine wichtige Rechtsgrundlage zur Verarbeitung personenbezogener Daten ist das „berechtigte Interesse“, welches in Art. 6 Abs. 1 lit. f DSGVO geregelt ist.

Die Datenschutz-Grundverordnung (DSGVO) enthält eine Reihe von Regelungen, die Unternehmen und Organisationen im Umgang mit personenbezogenen Daten beachten müssen. Ein wichtiger Grundsatz der DSGVO ist das Prinzip der Rechtmäßigkeit, das besagt, dass die Verarbeitung personenbezogener Daten nur auf einer rechtmäßigen Grundlage erfolgen darf.

Eine solche rechtmäßige Grundlage ist das berechtigte Interesse. Das berechtigte Interesse ist eine Rechtsgrundlage, die es einem Unternehmen erlaubt, personenbezogene Daten zu verarbeiten, ohne dass eine Einwilligung der betroffenen Person erforderlich ist. Allerdings müssen bestimmte Bedingungen erfüllt sein, um das berechtigte Interesse als Rechtsgrundlage nutzen zu können.

Das Unternehmen muss zunächst ein berechtigtes Interesse an der Verarbeitung der personenbezogenen Daten haben. Ein berechtigtes Interesse kann beispielsweise dann vorliegen, wenn die Verarbeitung der personenbezogenen Daten zur Wahrung der berechtigten Interessen des Unternehmens erforderlich ist, z.B. um ein legitimes Geschäftsinteresse zu verfolgen.

Darüber hinaus muss das Unternehmen sicherstellen, dass das berechtigte Interesse der betroffenen Person nicht überwiegt. Wenn das berechtigte Interesse des Unternehmens das Interesse oder die Grundrechte und Freiheiten der betroffenen Person überwiegt, kann das Unternehmen die personenbezogenen Daten unter Umständen verarbeiten, ohne dass eine Einwilligung erforderlich ist.
Die Interessenabwägung ist auf jeden Fall zu dokumentieren, da diese ggf. auch einer Aufsichtsbehörde vorgelegt werden muss. Hier muss eine sachgerechte Abwägung der unterschiedlichen Interessen ersichtlich sein.

Es ist jedoch wichtig zu betonen, dass das berechtigte Interesse kein Freifahrtschein für Unternehmen ist, um personenbezogene Daten beliebig zu verarbeiten. Unternehmen müssen sicherstellen, dass sie nur diejenigen personenbezogenen Daten verarbeiten, die für die Zwecke, für die sie benötigt werden, angemessen, relevant und begrenzt sind.

Ein kompetenter Datenschutzbeauftragter kann hier wertvolle Dienste leisten.

Weiterhin ist hier zu beachten, dass diese Rechtsgrundlage für den öffentlichen Bereich NICHT anwendbar ist (vgl. Art. 6 Abs.1 Satz 2 DSGVO).

Risikoanalyse – Notwendig nach DSGVO?

von

Die Risikoanalyse

 

Die Datenschutz-Grundverordnung (DSGVO) erfordert z.B. in Art 32 von Unternehmen und Organisationen, dass sie eine Risikoanalyse durchführen, um potenzielle Datenschutzverletzungen zu identifizieren und zu minimieren. Eine solche Risikoanalyse sollte folgende Schritte beinhalten:

  1. Identifizieren Sie alle personenbezogenen Daten, die von Ihrem Unternehmen oder Ihrer Organisation verarbeitet werden.

  2. Bewerten Sie die Wahrscheinlichkeit und Auswirkungen von Datenschutzverletzungen, die mit diesen personenbezogenen Daten verbunden sind. Berücksichtigen Sie hierbei auch die Art der Daten, die Verarbeitungszwecke und die Art der betroffenen Personen.

  3. Identifizieren Sie mögliche Schwachstellen und Bedrohungen für die Sicherheit der personenbezogenen Daten, die von Ihrem Unternehmen oder Ihrer Organisation verarbeitet werden. Hierzu gehören beispielsweise unverschlüsselte Übertragungen, unzureichende Zugangskontrollen oder mangelnde Datensicherung.

  4. Bestimmen Sie geeignete Maßnahmen zur Minimierung der Risiken, die mit der Verarbeitung personenbezogener Daten verbunden sind. Dazu gehören beispielsweise die Implementierung von Verschlüsselungstechnologien, die Verbesserung von Zugangskontrollen oder die regelmäßige Überprüfung von Sicherheitsprotokollen.

  5. Dokumentieren Sie Ihre Risikoanalyse und die darauf basierenden Maßnahmen in einem Datenschutzkonzept. Stellen Sie sicher, dass dieses Konzept regelmäßig aktualisiert und an neue Bedrohungen und Risiken angepasst wird.

 

 

Es ist wichtig zu beachten, dass die DSGVO keine spezifischen Methoden oder Tools für die Durchführung einer Risikoanalyse vorschreibt. Die oben genannten Schritte dienen als Leitfaden und können je nach Art und Umfang der Datenverarbeitung angepasst werden. Es empfiehlt sich jedoch, sich an bewährte Praktiken und Standards zu halten und die Hilfe von Datenschutzexperten in Anspruch zu nehmen, um sicherzustellen, dass die Risikoanalyse korrekt durchgeführt wird.

 

 

Auswahl angemessener Sicherungsmaßnahmen

 

Da die DSGVO hier keine spezifischen Vorgaben macht, können die jeweiligen Sicherungsmaßnahmen individuell an das heweilige Unternehmen und somit an die verarbeiteten Daten angepasst werden.

Auch einige Aufsichtsbehörden haben sich hierzu schon geäußert. Beispielsweise hat die Landesbeauftragte für den Datenschutz in Niedersachsen hierzu schon einiges veröffentlicht.

Datenschutzfolgenabschätzung (DSFA)

von

Die Datenschutzfolgenabschätzung der DSGVO

 

Die Datenschutz-Grundverordnung (DSGVO) sieht sieht gem. Art. 35 vor, dass bei der Verarbeitung personenbezogener Daten vorab eine Datenschutzfolgenabschätzung durchgeführt werden muss, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringt.

 

 

Die Risikoabschätzung ist ein wichtiger Bestandteil der DSFA. Hierbei werden die potenziellen Risiken identifiziert und bewertet, die mit der Verarbeitung personenbezogener Daten einhergehen können. Hierzu können beispielsweise gehören: Risiken wie Identitätsdiebstahl, Verlust oder Diebstahl von Daten, unbefugte Weitergabe von Daten oder Verletzungen der Privatsphäre.

Eine Datenschutzfolgenabschätzung (DSFA) ist eine systematische Bewertung der potenziellen Auswirkungen der Verarbeitung personenbezogener Daten auf die Privatsphäre und die Grundrechte und -freiheiten der betroffenen Personen. Ziel der DSFA ist es, Risiken und Schwachstellen in der Datenverarbeitung zu identifizieren und Maßnahmen zur Minimierung dieser Risiken zu empfehlen.

Die DSFA muss unter anderem folgende Elemente enthalten:

  • Eine Beschreibung der geplanten Verarbeitungsvorgänge und der betroffenen Datenkategorien
  • Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Datenverarbeitung
  • Eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen
  • Eine Beschreibung der vorgesehenen Maßnahmen zur Minimierung der Risiken
  • Eine Bewertung der Wirksamkeit dieser Maßnahmen.
  • usw.

Die DSFA muss vom Verantwortlichen (Unternehmensleitung) durchgeführt werden und kann auch externe Experten einbeziehen. Die Ergebnisse der DSFA müssen dokumentiert werden und den Aufsichtsbehörden auf Anfrage vorgelegt werden können.

Die DSFA ist ein wichtiges Instrument, um sicherzustellen, dass die Verarbeitung personenbezogener Daten im Einklang mit den Grundrechten und -freiheiten der betroffenen Personen erfolgt und um die Datenschutzpraktiken von Unternehmen und Organisationen zu verbessern.

Weitere Hinweise für die Durchführung bzw. Notwendigkeit einer DSFA findet man beispielsweise bei der Landesbeauftragten für den Datenschutz in Niedersachsen.

 

Datenschutz und WhatsApp

von

Sind Datenschutz und WhatsApp vereinbar ?

Wenn es um den Datenschutz geht, dann wird auch oft über WhatsApp diskutiert. Viele Firmen gehen inzwischen dazu über, den Kundenkontakt auch auf WhatsApp zu pflegen. Auch berichten viele Schüler, dass Lehrer WhatsApp Gruppen mit ihren Schülern nutzen, um schulische Dinge zu klären.

Über das Thema Datenschutz scheint sich hier jedoch kaum jemand Gedanken zu machen. Obwohl ich kein Jurist bin, sehe ich  jedoch schon einige Probleme bei einem Blick in das Bundesdatenschutzgesetz (BDSG) und in die zukünftig geltende Datenschutz-Grundverordnung (DSGVO). Wie bereits bei den Datenschutz Grundlagen erläutert, handelt es sich bei Telefonnummern unzweifelhaft um personenbezogene Daten, da die Nummern einer natürlichen Person zugeordnet werden können.

Laut BDSG und zukünftig DSGVO dürfen personenbezogenen Daten grundsätzlich nur verarbeitet werden, wenn:

  • eine Rechtsgrundlage hierfür vorhanden ist (§ 4 Abs. 1 BDSG, Art. 6 Abs. 1 lit. c DSGVO)
  • die Betroffenen in die Verarbeitung eingewilligt haben(§ 4 Abs. 1 BDSG, Art. 6 Abs. 1 lit. a DSGVO)

Beide Voraussetzungen sind hier offensichtlich nicht gegeben.

Datenschutz-Göttingen-WhatsApp

WhatsApp Datenschutzprobleme

Aus den genannten Gründen könnten Probleme bei der Zulässigkeit der Verarbeitung entstehen. Ein weiteres Problem sehe ich in der Datenübertragung in die USA. Bei der Installation von WhatsApp gewährt man Zugriff auf die eigenen Kontaktdaten. Selbstverständlich ist es sehr praktisch, dass anschließend gleich alle eigenen Kontakte, welche auch bei WhatsApp aktiv sind, in der WhatsApp Übersicht erscheinen. Aber hierür ist es eben nötig, dass ALLE Kontaktdaten in die USA zum WhatsApp-Server übertragen werden.

Hier handelt es sich jedoch dummerweise um eine Datenübertragung in ein sog. Drittland (außerhalb der EU). Somit könnte ein Datenschutzverstoß gem.. Art. 45 DSGVO entstehen.

Datenschutzprobleme und die Folgen

Der Datenschutz rückt immer mehr in die Öffentlichkeit. Und es ist davon auszugehen, dass mit Inkrafttreten der DSGVO und den damit verbundenen hohen Bußgeldern noch viele spektakuläre Datenschutzprobleme öffentlich werden.

Speziell zu WhatsApp gibt es jedoch schon ein Urteil des AG Bad Hersfeld vom 15.05.2017.  Dies ist zwar nicht zu verallgemeinern, aber auch hier wird die Übertragung der Kontaktdaten in die USA als problematisch angesehen.

Hierbei sollte man auch stets daran denken, dass mit Inkrafttreten der DSGVO auch Schadenersatzansprüche gem. Art. 82 Abs. 1 DSGVO gegen den Verantwortlichen (hier der WhatsApp Nutzer) möglich sind.

Jeder WhatsApp Nutzer sollte vielleicht auch mal einen Blick in die Nutzungsbedingungen von WhatsApp werfen. Diese werden von nahezu allen Nutzern ungelesen bestätigt.

Hierin befindet sich jedoch der Passus: „…Du stellst uns regelmäßig die Telefonnummern von WhatsApp-Nutzern und deinen sonstigen Kontakten in deinem Mobiltelefon-Adressbuch zur Verfügung. Du bestätigst, dass du autorisiert bist, uns solche Telefonnummern zur Verfügung zu stellen, damit wir unsere Dienste anbieten können..“

Mir ist jedoch bisher niemand bekannt, der diese besagte Autorisierung erhalten hat. Man müsste demzufolge bei allen gespeicherten Kontakten um eine Erlaubnis bitten und sich diese zur Sicherheit auch noch schriftlich bestätigen lassen.

Das sind doch alles meine Freunde oder gute Bekannte werden jetzt viele denken. Aber was passiert eigentlich, wenn es mal Unstimmigkeiten zwischen den „Freunden“ gibt? Man wird die Rechtsprechung abwarten müssen, aber dem Gesetzestext nach sollte hier ein Schadenersatz möglich sein. Ein entsprechendes Verfahren wird nach Inkrafttreten der DSGVO sicherlich nicht lange auf sich warten lassen.

Fazit

Alle die WhatsApp beruflich nutzen, sollten sich Gedanken darüber machen, welche Vorteile diese Nutzung bringt und welche datenschutzrechtlichen Risiken sie hiermit eingehen. Im Hinblick auf die seit  dem 25.05.2018 geltende DSGVO und den entsprechenden Bußgeldvorschriften bei Datenschutzverstößen, werden die Risiken nicht unbeachtet bleiben können.

Verzeichnis von Verarbeitungstätigkeiten

von

Verzeichnis von Verarbeitungstätigkeiten

Mit Inkrafttreten der Datenschutz-Grundverordnung (DS-GVO) am 25.05.2018 wird das bisher bekannte Verfahrensverzeichnis gem. § 4e Bundesdatenschutzgesetz (BDSG) abgelöst durch ein Verzeichnis von Verarbeitungstätigkeiten gem. Art. 30 GS-GVO. Hiermit entfällt auch gleichzeitig das sog. Jedermannverzeichnis, d.h. die öffentliche, für Jedermann zur Verfügung zu stellende Version des Verfahrensverzeichnisses.

Datenschutz-Goettingen-30

Grundlage für das Datenschutzmanagement

Das Verzeichnis von Verarbeitungstätigkeiten ist eine der wichtigsten Grundlagen zum Aufbau eines wirkungsvollen Datenschutzmanagementsystems. Dies ist leicht nachvollziehbar, da eine Kenntnis aller Verarbeitungstätigkeiten die Grundlage für alles Weitere im Datenschutz ist. Man kann Datenschutz nur wirkungsvoll betreiben, wenn man die eigenen Verarbeitungen kennt.

Daher ist das Verzeichnis von Verarbeitungstätigkeiten auch immer ein guter erster Ansatzpunkt bei Prüfungen durch die zuständigen Datenschutz-Aufsichtsbehörden. Ebenfalls kann ich mir keine Möglichkeit vorstellen, wie man gem. Art. 5 Abs. 2 DS-GVO die Rechtmäßigkeit der Verarbeitung nachweisen kann, wenn ein entsprechendes Verzeichnis nicht zur Verfügung steht.

Pflicht zur Führung des Verzeichnisses

Wer ist verpflichtet ein Verzeichnis von Verarbeitungstätigkeiten zu führen? Hier hilft ein Blick in Art. 30 Abs. 5 DS-GVO. Dort ist festgelegt, dass Unternehmen mit weniger als 250 Mitarbeitern von der Pflicht befreit sind. Aber halt, bitte nicht zu früh freuen! Es gibt auch hier wieder Ausnahmen von der Ausnahme:

Das Verzeichnis ist auch mit weniger als 250 Mitarbeitern verpflichtend, wenn:

  • die vorgenommene Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt
  • die Verarbeitung nicht nur gelegentlich erfolgt (Achtung: auch Gehaltszahlungen erfolgen nicht nur gelegentlich!!!)
  • eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 DS-GVO erfolgt. Diese erfolgt übrigens auch, wenn Gehaltsabrechnungen durchgeführt werden, da hier auch die Religionszugehörigkeit verarbeitet wird und somit besondere Datenkategorien verarbeitet werden.
  • die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 GS-GVO erfolgt

Inhalt des Verzeichnisses

Die DS-GVO macht keine konkreten Formvorschriften für das Verzeichnis von Verarbeitungstätigkeiten. Nach altem Recht gab es teilweise spezielle Vorgaben der Aufsichtsbehörden. Von einigen Aufsichtsbehörden (z.B. Niedersachsen) gibt es einen eigenen Vordruck für ein Verfahrensverzeichnis.

Doch dies ist mit Inkrafttreten der DS-GVO Geschichte. Die DS-GVO gibt ledigleich Vorgaben für den Inhalt. Da keine entsprechenden Öffnungsklauseln vorhanden sind, können die jeweiligen EU-Staaten auch keine eigenen Vorschriften hierzu erlassen.

Folgende Inhalte müssen gem. Art. 30 Abs. 1 DS-GVO enthalten sein:

  • den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten
  • die Zwecke der Verarbeitung
  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien
  • wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1

Verarbeitungstätigkeiten-Datenschutz

Was ist ein Verfahren ?

In vielen Betrieben / Behörden entsteht schon ein Problem bei der Erstellung des Verzeichnisses. Hier kommt oft die Frage auf, was eigentlich als „Verfahren“ zu bezeichnen ist. Ein weit verbreitetes Mißverständnis besteht darin, dass hier einfach alle IT-Verfahren aufgelistet werden, welche im jeweiligen Betrieb / Behörde eingesetzt werden. Dies ist natürlich nicht der Sinn eines Verzeichnisses gem. Art. 30 DS-GVO.

Es sind sämtliche Verarbeitungen von personenbezogenen Daten aufzuführen. Dabei ist es unerheblich, ob die Verarbeitung maschinell erfolgt oder z.B. in Papierform. Ein paar einfache Beispiele wären:

  • Gehaltsabrechnung der Beschäftigten
  • Urlaubskartei der Beschäftigten
  • Fehlzeitenverwaltung
  • Bearbeitung von Bewerberdaten
  • Zeiterfassung
  • Videoüberwachung
  • usw.

Fazit

Wie man hier schon sieht, ist das Verzeichnis sehr detailliert zu erstellen. Der hierfür entstehende Aufwand sollte nicht unterschätzt werden, da sämtliche Verarbeitungen im Unternehmen bekannt sein müssen. Für jedes Verfahren müssen alle oben genannten Punkte gem. Art. 30 DS-GVO enthalten sein. Hier empfiehlt es sich in vielen Fällen, eine Projektgruppe mit der Sammlung und Zusammenstellung der Verarbeitungen zu beauftragen.

Ein Verstoß gegen die oben genannten Vorschriften kann gem. Art. 83 Abs. 4 DS-GVO mit einem Bußgeld von bis zu 10.000.000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist, geahndet werden.

Bewerberdaten nach DS-GVO

von

Bewerberdaten unter der DS-GVO

 

Die Suche nach geeigneten Mitarbeitern kann sich in vielen Branchen als eine schwierige Aufgabe darstellen. Umso größer ist die Freude bei vielen Unternehmen, wenn Bewerbungen in großer Anzahl eingehen und die Auswahl nach dem perfekten Bewerber beginnen kann. Doch da gibt es ja noch die DS-GVO. Was ist eigentlich alles im Umgang mit Bewerberdaten zu beachten? Die Zulässigkeit der Verarbeitung von Bewerberdaten ist schnell geklärt. Hier ist Art. 6 Abs. 1 lit.b DS-GVO i.V.m. § 26 Abs. 1 BDSG-neu als Rechtsgrundlage geeignet. Hier handelt es sich um die Durchführung vorvertraglicher Maßnahmen, d.h. ein Arbeitsvertrag soll vorbereitet werden.

 

Datenschutz Göttingen

 

Eingang der Bewerbung

 

Zunächst einmal sollte geklärt sein, wie die Bewerbungen eingehen.

  • Handelt es sich um klassische Bewerbungen, welche in Papierform das Unternehmen erreichen?
  • Existiert ein Berwerberportal?
  • Werden Bewerbungen per EMail zugesandt?

Bei Bewerberdaten handelt es sich um sehr sensible Daten, welche im Fall einer elektronischen Übermittlung (per Webportal oder EMail) unbedingt verschlüsselt übertragen werden sollten. Ein Bewerberportal muss auf jeden Fall verschlüsselt angeboten werden.

Für EMail Bewerbungen sollte eine spezielle Adresse eingerichtet werden, wie z.B. Berwerbungen@unternehmen.de.  Auch hierfür sollte eine Möglichkeit der EMail Verschlüsselung angeboten werden.

 

Bewerberdaten nach DS-GVO

 

Informationspflichten bei Bewerbungen

 

Mit dem Eingang der Bewerbung werden die Daten des Bewerbers selbstverständlich auch verarbeitet im Sinne der DS-GVO. Es handelt sich zweifelsfrei um personenbezogene Daten gem. Art. 4 Nr. 1 DS-GVO und eine Verarbeitung gem. Art. 4 Nr. 2 DS-GVO findet ebenfalls statt.

Damit finden die Informationspflichten gem. Art. 13 DS-GVO Anwendung. Dem Bewerber sind alle Informationen gem. Art. 13 DS-GVO zu übermitteln. Wie die Informationen dem Betroffenen mitzuteilen sind ist in der DS-GVO nicht geregelt. Hier sind verschiedene Methoden in der Praxis anzutreffen. Bei herkömmlichen postalischen Bewerbungen könnten die Informationen beispielsweise mit der Eingangsbestätigung versendet werden.

Bei Bewerbungen per Portal oder EMail gibt es derzeit verschiedene Vorgehensweisen. Teilweise werden Autoresponder verwendet, welche sofort nach Eingang der Bewerbungsdaten eine automatische Antwortmail mit den Angaben gem. Art. 13 DS-GVO versenden.

Eine andere Möglichkeit ist die sog. „Linklösung“, welche u.a. auch vom Rechtsanwalt und Datenschutzexperten Stephan Hansen-Oest empfohlen wird. Hierbei wird auf dem eigenen Server eine Datei mit den Datenschutzinformationen gem. Art. 13 DS-GVO hinterlegt. Diese Datei ist über das Menü der eignene Homepage nicht erreichbar, sondern nur über einen speziellen Link (z.B. www.unternehmen.de/datenschutz), welcher dem Betroffenen (hier Bewerber) mitgeteilt wird.

Dieser Link kann beispielsweise auch bereits in den Text der Stellenausschreibung mit aufgenommen werden.

Welche Variante sich letztendlich durchsetzen wird bleibt abzuwarten. Eventuell wird auch irgendwann eine Klärung durch die Rechtsprechung herbeigeführt werden.

 

Datenschutzbeauftragter Start-Ups

Löschfristen für Bewerbungen

 

In vielen Unternehmen war es gängige Praxis, dass die Bewerbungsunterlagen von abgelehnten Bewerbern nicht vernichtet bzw. gelöscht wurden, sondern für zukünftige Stellenausschreibungen aufbewahrt wurden. Dies war schon nach dem alten Bundesdatenschutzgesetz unzulässig und sollte zu Zeiten der DS-GVO auf keinen Fall weiterhin so gehandhabt werden.

Auch für Bewerberdaten gelten die Vorschriften zur Löschung von personenbezogenen Daten gem. Art. 17 DS-GVO. Demzufolge sind gem. Art. 17 Abs. 1 lit. a DS-GVO die personenbezogenen Daten zu löschen, wenn sie für die Zwecke für die sie erhoben wurden nicht mehr benötigt werden. Dies ist eindeutig der Fall, wenn das Bewerbungsverfahren abgeschlossen ist.

Hier sollte jedoch beachtet werden, dass in jedem Bewerbungsverfahren die Möglichkeit einer Klage aufgrund des Allgemeinen Gleichbehandlungsgesetz (AGG) besteht. Daher sollten die Bewerbungsunterlagen noch eine angemessene Frist aufbewahrt werden. Diese Frist sollte aber nicht länger als 6 Monate sein. Danach sollten die Unterlagen unverzüglich vernichtet werden.

Für den Fall, dass die Unterlagen länger aufbewahrt werden sollen, ist auf jeden Fall eine entsprechende Einwilligung des Betroffenen hierfür notwendig.

Ein Verstoß hiergegen kann gem. Art. 83 Abs. 5 DS-GVO geahndet werden.

 

Rechenschaftspflicht

 

Die Einhaltung dieser Vorschriften muss gem. Art. 5 Abs. 2 DS-GVO auch nachgewiesen werden können.  Somit ist es notwendig, dass auch hierfür ein Prozess definiert wird, welcher die Abläufe klar dokumentiert. Ein geeignetes Datenschutz Management System sollte hier eine sinnvolle Hilfe sein.

 

Datenschutz Mogelpackung für kleine und mittlere Unternehmen (KMU)

von

Datenschutz Mogelpackung für Unternehmen

 

Der Bundestag hat am 28.06.2019 ein Gesetz zur Änderung verschiedener Vorschriften beschlossen. Darunter auch die Änderung des § 38 Bundesdatenschutzgesetz (BDSG). Hier wurde die Grenze zur verpflichtenden Benennung eines Datenschutzbeauftragten (DSB) von 10 auf 20 Personen heraufgesetzt, welche mit der Verarbeitung personenbezogener Daten beschäftigt sind. Begründet wurde dies mit einer Entlastung der KMU’s.

Hier wird aber voraussichtlich das genaue Gegenteil der Fall sein. Es wurde nämlich nicht erwähnt, dass die datenschutzrechtlichen Vorschriften (DSGVO, BDSG…) selbstverständlich weiterhin für diese Unternehmen in vollem Umfang gelten und genauso wie bisher umzusetzen sind. Dies hat zur Folge, dass kein geschulter DSB mehr vorhanden ist, aber die Vorschriften vom Unternehmen trotzdem eingehalten werden müssen.

 
Datenschutz-Mogelpackung für KMU
 

Datenschutz-Aufsichtsbehörden werden verstärkt prüfen

 

Die deutschen Datenschutzaufsichtsbehörden haben sich im Vorfeld gegen diese Gesetzesänderung ausgesprochen. Daher ist davon auszugehen, dass die Prüfungen verstärkt werden, da auch hier die oben genannte Problematik gesehen wird. Es ist leider anzunehmen, dass auch die Anzahl der verhängten Bußgelder hierdurch steigen wird.

Die ersten Datenschutz-Aufsichtsbehörden haben schon eine Stellungnahme abgegeben:

Berlin:

https://www.datenschutz.de/datenschutz-anpassungsgesetz-vermeintlicher-buerokratieabbau-ist-eine-milchmaedchenrechnung/

Niedersachsen:

https://lfd.niedersachsen.de/startseite/allgemein/presseinformationen/thiel-datenschutz-nicht-weiter-aushoehlen-178251.html

 

Datenschutz Bußgelder

 

Das Haftungsrisiko steigt

 
Bei einem Bußgeldrisiko von bis zu 20 Millionen Euro wird es sich kein Unternehmen leisten können, den Datenschutz zukünftig außer Acht zu lassen. Daher müssen die eigenen Mitarbeiter in der Thematik geschult werden.

Auch die Haftung der Vorstände bzw. Geschäftsführer (siehe Aktiengesetz, GmbH-Gesetz) kann hier meiner Ansicht nach betroffen sein, wenn intern kein geeignetes Risikomanagement organisiert wird, welches das Bußgeldrisiko minimieren soll.
Der Aufwand für die Firmen wird damit steigen. Von einer Entlastung kann absolut keine Rede sein.

Selbstverständlich könnte ein Unternehmen entscheiden, dass der Datenschutz zukünftig nur noch eine untergeordnete Rolle einnehmen soll. Dies kann aber spätestens dann zu einer kostspieligen Entscheidung werden, wenn bei einer Aufsichtsbehörde eine Beschwerde eines Kunden oder Mitarbeiters vorliegt, welche eine entsprechende Prüfung nach sich zieht.

 

Fazit

 

Einige Unternehmen haben die genannten Probleme jedoch bereits erkannt und werden zukünftig auf eine freiwillige Benennung eines Datenschutzbeauftragten zurückgreifen. Dies wird bereits von vielen Unternehmen öffentlichkeitswirksam dargestellt und sich in Zukunft als Wettbewerbsvorteil herausstellen.

 

Anwendungsbereich des BDSG

von

Der Anwendungsbereich des BDSG

 

Das Bundesdatenschutzgesetz (BDSG) kommt oft neben der DSGVO zur Anwendung. Nämlich immer dann, wenn die DSGVO eine sog. Öffnungsklausel für den nationalen Gesetzgeber vorsieht. Das neue BDSG trat mit der DSGVO in Kraft. Das BDSG besteht aus 4 Teilen:

  • Teil 1: §§ 1 – 21
  • Teil 2: §§ 22 – 44
  • Teil 3: §§ 45 – 84
  • Teil 4: § 85

Datenschutz Informationen BDSG
 

Bei § 44 BDSG ist Schluss

 

Nun sieht man jedoch ziemlich oft, dass in Datenschutzerklärungen o.ä. auf §§ des 3.Teils (ab § 45 BDSG) verwiesen wird. Dies ist jedoch nur möglich, wenn es sich hier um eine Stelle handelt, welche für die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten zuständig ist. Dies sind beispielsweise Gerichte, Polizei, Staatsanwaltschaften usw.

Um dies festzustellen, ist kein Jurastudium notwendig. Hier reicht es vollkommen aus, wenn man sich den Anwendungsbereich für den 3.Teil (§ 45 BDSG) durchliest oder aktuelle Fortbildungen zum Thema Datenschutz besucht.

Der 3.Teil des BDSG (§§ 45 – 84 ) ist somit nicht für Unternehmen anwendbar!

Alle §§ von 45 bis 84 können somit nicht von Unternehmen herangezogen werden. Sollte also ein „Datenschutzberater“ diese Paragraphen verwenden, wäre diesem eine aktuelle Fortbildung zu empfehlen.

 

Auskunft nach DS-GVO

von

Auskunftsrecht gem. Art. 15 DS-GVO

 

Das Auskunftsrecht nach Art. 15 DS-GVO gilt für jedermann und ist an keinerlei Voraussetzungen wie berechtigtes Interesse o.ä. geknüpft. Daher kann jedes Unternehmen eine derartige Anfrage jederzeit in der Post vorfinden. Viele Unternehmen haben auch schon ihre Erfahrungen hiermit gemacht. Doch was ist zu beachten, wenn ein Betroffener sein Auskunftsrecht gem. Art. 15 DS-GVO geltend macht?

Zuerst einmal sollte man bedenken, dass Personen, welche eine derartige Anfrage stellen, sich in den meisten Fällen schon mit dem Thema Datenschutz beschäftigt haben und sich daher mit der Materie auskennen. Gerade hier wäre es gefährlich eine fehlerhafte Auskunft zu erteilen, da ein solcher Fall ziemlich schnell bei der Aufsichtsbehörde landen kann und somit zusätzliche Fragen und im schlimmsten Fall ein Bußgeld nach sich zieht.

Auskunft nach Art.15 DSGVO

 

Was ist also zu beachten? In der Anfrage des Betroffenen muss nicht ausdrücklich auf Art. 15 DS-GVO Bezug genommen werden. Soweit aus der Anfrage ersichtlich ist, dass eine Auskunft über personenbezogene Daten gewünscht wird, ist diese nach den Vorgaben gem. Art. 15 DS-GVO zu erteilen. Die Frist zur Erteilung der Auskunft beträgt gem. Art. 12 Abs. 3 DS-GVO einen Monat.

Hierbei ist darauf zu achten, dass es sich beim Auskunftsanspruch um einen persönlichen Anspruch handelt. Es kann also kein Dritter (oder eine Firma für ihre Beschäftigten) einen derartigen Anspruch stellen. Dies setzt voraus, dass der Anspruchsteller auch eindeutig identifiziert werden kann. Dies kann z.B. erfolgen, indem bei schriftlichen Anfragen die Daten mit den evtl. vorhandenen Daten verglichen werden.

Der Auskunftsanspruch gem. Art. 15 DS-GVO kann als „zweistufiger“ Anspruch gesehen werden. Zum einen die Auskunft ob überhaupt personenbezogene Daten des jeweiligen Betroffenen vorhanden sind und falls dies der Fall ist, die Auskunft welche Daten vorhanden sind.

Sollten keine personenbezogenen Daten zur betroffenen Person vorhanden sein, sollte man darauf achten, dass man nicht mitteilt „wir haben keine Daten“. Denn das Problem ist, dass durch die Anfrage ja jetzt Daten vorliegen. Eine sinnvolle Antwort könnte hier lauten: „Außer den Daten, welche uns durch Ihre Anfrage jetzt vorliegen, haben wir keine personenbezogenen Daten von Ihnen gespeichert.“

Sollten jedoch große Datenmengen über die betroffene Person vorhanden sein, kann es durchaus zulässig sein, dass der Betroffene gebeten wird, die von ihm gewünschten Daten näher einzugrenzen.

DSGVO-Auskunft gem. Art.15 DSGVO

Inhalt der Auskunft

 

Folgende Daten sind von dem Auskunftsanspruch gem. Art. 15 Abs. 1 DS-GVO erfasst:

  • Die gespeicherten personenbezogenen Daten
  • die Verarbeitungszwecke
  • die Kategorien personenbezogener Daten, die verarbeitet werden (soweit nicht offensichtlich)
  • die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen
  • falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
  • das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
  • wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person

Weiterhin hat der Betroffene gem. Art. 15 Abs. 2 DS-GVO das Recht darüber unterrichtet zu werden, inwieweit seine personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt wurden und die geeigneten Garantien gemäß Artikel 46 im Zusammenhang mit der Übermittlung.

 

Wie muss die Auskunft erfolgen?

 

Der Betroffene hat gem. Art. 15 Abs. 3 DS-GVO das Recht auf eine Kopie der jeweiligen Daten. Soweit der Antrag elektronisch gestellt wurde, sind die Daten in einem gängigen elektronischen Format zur Verfügung zu stellen. Die Informationen sind gem. Art. 12 Abs. 5 DS-GVO kostenlos zur Verfügung zu stellen. Sollte der Betroffene mehr als eine Kopie verlangen, können diese gem. Art. 15 Abs. 3 Satz 2 DS-GVO jedoch in Rechnung gestellt werden.

Bei der Anfertigung der Kopie ist darauf zu achten, dass die Rechte Dritter nicht beeinträchtigt werden (Art. 15 Abs. 4 DS-GVO). Sollten hier also personenbezogene Daten Dritter enthalten sein, sind diese entsprechend unkenntlich zu machen.

 

Auskunftsanspruch nach Art 15 DSGVO

Kann eine Auskunft verweigert werden?

 

Eine Verweigerung der Auskunft ist zwar möglich, jedoch an ganz wenige Ausnahmetatbestände gebunden. Diese Ausnahmetatbestände sind in Art. 12 Abs. 5 DS-GVO genannt. Hier kommen offensichtlich unbegründete oder sich häufig wiederholende Anträge auf Auskunft in Betracht. Weitere Kriterien für eine Verweigerung der Auskunft sind in den §§ 33 und 34 BDSG aufgeführt. Die Beweislast für die Verweigerung der Auskunft trifft hier den für die Datenverarbeitung verantwortlichen (Unternehmen) und muss entsprechend dokumentiert werden.

 

Fazit

 

Ein Auskunftsersuchen gem. Art. 15 DS-GVO kann jederzeit jedes Unternehmen treffen. Die Frist zur Beantwortung einer derartigen Anfrage beträgt nur einen Monat. Daher sollte sich jedes Unternehmen im Klaren sein, wo welche Daten gespeichert sind und wie diese für eine Auskunft verfügbar gemacht werden können. Also gilt auch hier, dass ein Prozess für die Beantwortung von Anfragen im Unternehmen definiert werden sollte. Wenn dies alles klar intern geregelt ist, sollte eine derartige Anfrage kein Problem für ein Unternahmen darstellen.

 

Auftragsverarbeitung

von

Auftragsverarbeitung nach DS-GVO

 

Die Auftragsverarbeitung nach der DS-GVO ist im Datenschutz keine neue Erfindung. Die bisherige Vorschrift gem. § 11 BDSG ist ihnen sicherlich unter der Bezeichnung Auftragsdatenverwaltung bekannt. Die neue Bezeichnung lautet nun Auftragsverarbeitung und ist in Art. 28 DS-GVO  geregelt. Es hat sich jedoch nicht nur der Name verändert. Es gibt einige neue Regelungen in der DS-GVO zu beachten.

 

Auftragsverarbeitung-Göttingen

 

Was ist eine Auftragsverarbeitung ?

 

Es handelt sich um eine Auftragsverarbeitung, wenn personenbezogene Daten im Auftrag eines Verantwortlichen durch andere Personen oder Stellen verarbeitet werden. Hierbei ist zu beachten, dass die Verantwortung für die Rechtmäßigkeit der Verarbeitung weiterhin beim Verantwortlichen (also Auftraggeber) bleibt.

Eine Auftragsverarbeitung findet man nahezu in jedem Unternehmen. Aber in vielen Fällen ist der Unternehmensleitung gar nicht bekannt, dass es sich um eine solche handelt und das hier spezielle Datenschutzvorschriften zu beachten sind. In diesem Fall ist ein Vertrag gem. Art. 28 Abs. 3 DS-GVO zu schließen, welcher die Rechte und Pflichten der Auftragsverarbeitung regelt. Auch bei der Auswahl des Auftragverarbeiters trifft den Verantwortlichen die Pflicht, nur Auftragsverarbeiter auszuwählen, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Vorschriften der DS-GVO eingehalten werden (vgl. Art. 28 Abs. 1 DS-GVO).

Der Auftragsverarbeiter verarbeitet die übergebenen Daten nur auf Anweisung des Auftraggebers (vgl. Art. 29 DS-GVO). Bei einer Verarbeitung, welche gegen die Weisungen des Verantwortlichen verstößt, haftet der Auftragsverarbeiter (vgl. Art. 28 Abs. 10 DS-GVO).

Die Einbindung eines weiteren Auftragsverarbeiters ist nur mit Genehmigung des Verantwortlichen zulässig. In diesem Fall gelten die gleichen datenschutzrechtlichen Pflichten wie zwischen dem Verantwortlichen und dem ersten Auftragsverarbeiter.

Kommt der weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der erste Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters (vgl. Art. 28 Abs. 4 Satz 2 DS-GVO).

Mit Inkrafttreten der DS-GVO ist auch der Auftragsverarbeiter verpflichtet ein Verzeichnis der Verarbeitungstätigkeiten zu führen (vgl. Art. 30 DS-GVO).

 

Folgen fehlerhafter Auftragsverarbeitung

 

Mit Inkrafttreten der DS-GVO könnten diejenigen Unternehmen erhebliche Probleme bekommen, welche sich bisher nicht intensiv mit der Auftragsverarbeitung beschäftigt haben. Ein Verstoß gegen die Vorschriften des Art. 28 DS-GVO können von den Aufsichtsbehörden mit Geldbußen von bis zu 10.000.000 Euro geahndet werden (Art. 83 Abs. 4 DS-GVO). Weiterhin wäre es möglich, dass die Betroffenen, deren Daten in diesem Fall ohne Rechtsgrundlage an Dritte weitergeleitet wurden, einen Anspruch auf Schadenersatz gem. Art. 82 DS-GVO haben könnten.

Somit sollte man als Unternehmen alle Verarbeitungen dahingehend überprüfen, inwieweit es sich hier um eine Auftragsverarbeitung handeln könnte. In größeren Unternehmen macht es durchaus Sinn, hierfür eine Projektgruppe einzurichten, da viele Auftragsverarbeitungen nicht sofort offensichtlich sind.

Beispiele für Auftragsverarbeitungen, welche oft vorhanden sind:

  • Externe Lohn- und Gehaltsabrechnung
  • Fernwartung der IT (mit Zugriff auf personenbezogene Daten)
  • Externe Verarbeitung von Kundendaten (Callcenter, Marketing…)

Oft ist es schwierig hier eine genaue Abgrenzung zu finden, ob es sich um eine Auftragsverarbeitung handelt oder nicht. Eine Auftragsverarbeitung liegt immer dann vor, wenn die fragliche Tätigkeit im Schwerpunkt eine Verarbeitung von Daten darstellt. Hierzu hat auch das Bayerische Landesamt für Datenschutzaufsicht eine sehr gelungene Übersicht erstellt.

 

Auftragsverarbeitung-Datenschutz-Göttingen2

 

Zu den Auftragsverarbeitungen gehören auch Verarbeitungen, an welche man nicht sofort in diesem Zusammenhang denken würde. Versenden sie beispielsweise regelmäßig Newsletter ihres Unternehmens? Dann besteht die Möglichkeit, dass sie einen Maildienst verwenden. Hier werden Kundendaten an einen externen Anbieter übermittelt, d.h. es besteht eine Auftragsverarbeitung. Wenn sich dieser Anbieter auch noch außerhalb der EU befindet (z.B. USA), dann besteht ein weiteres Problem, da es sich um eine Datenübermittlung außerhalb der EU handelt. In diesem Fall sind die Vorschriften der Art. 44 ff DS-GVO zu beachten. Dies wird jedoch noch in einem gesonderten Beitrag behandelt werden.

 

Verträge zur Auftragsverarbeitung

 

Es ist ein wenig Aufwand notwendig, um die neuen Datenschutzvorschriften umzusetzen. Man muss jedoch auch in diesem Bereich des Datenschutzes das Rad nicht neu erfinden. Man findet Musterverträge im Internet, so z.B. auf den Webseiten der Aufsichtsbehörden. Selbstverständlich müssen diese an die individuellen Gegebenheiten des jeweiligen Unternehmens angepasst werden. In größeren Unternehmen kann dies einen erheblichen Aufwand verursachen.

Sollte ein Auftragnehmer sich weigern einen derartigen Vertrag abzuschließen, ist eine rechtmäßige Verarbeitung der personenbezogenen Daten gem. DS-GVO nicht mehr gegeben. In diesem Fall sollte man sich nach einem neuen Auftragsverarbeiter umsehen, da es sicherlich einen Grund dafür gibt, wenn sich ein Anbieter weigert, einen Vertrag über eine datenschutzgerechte Verarbeitung abzuschließen.

 

Fazit

 

Die Auftragsverarbeitung gehört sicherlich nicht zu den kompliziertesten Bereichen der DS-GVO, aber es handelt sich definitiv um einen sehr wichtigen Teilbereich des Datenschutzes. Zum einen drohen erhebliche Bußgelder bei einem Verstoß und zum anderen würde der Ruf des Unternehmens einen enormen Schaden erleiden, wenn Datenschutzpannen infolge eines leichtfertigen Verstoßes gegen Datenschutzgesetze erfolgen.