DATENSCHUTZ – Häufig gestellte Fragen
Wen oder was schützt die Datenschutz-Grundverordnung?
„Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.“
So heißt es jedenfalls in Art. 1 Abs. 2 der Verordnung. So richtig eindeutig ist die Frage nach dem, was die Juristen den „Schutzbereich“ oder das „Schutzgut“ nennen, damit aber nicht beantwortet. Es gibt dementsprechend auch ausschweifende Diskussionen in Fachkreisen zu diesem Thema.
Festzuhalten ist aber jedenfalls, dass es im Zentrum nicht um den Schutz von Daten an sich geht, (was der Begriff nahelegen könnte). Die DSGVO beabsichtigt vielmehr den Schutz der Grundrechte und Grundfreiheiten der natürlichen Person, auf die diese Daten sich beziehen. Dementsprechend spricht die DSGVO auch stets vom Schutz personenbezogener Daten.
Es können nur natürliche Personen „Betroffene“ (und damit Rechteinhaber) im Sinne der DSGVO sein (vgl. Erwägungsgrund 9). Unternehmen bzw. sogenannte juristische Personen werden nicht von der DSGVO geschützt.
Wer ist für die Umsetzung der DSGVO-Vorgaben verantwortlich?
Die zahlreichen Pflichten der DSGVO richten sich an den sog. Verantwortlichen für die Datenverarbeitung (womit die Verarbeitung personenbezogener Daten gemeint ist). Verantwortlicher ist nach der Begriffsbestimmung in Art. 4 Nr. 7 DSGVO
„die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.“
In der freien Wirtschaft ist damit das Unternehmen (die juristische Person) selbst Verantwortlicher im Sinne der DSGVO. Intern liegt die Verantwortung letztlich bei der Geschäftsführung. Zwar besteht die Möglichkeit (und regelmäßig auch die organisatorische Notwendigkeit) datenschutzrelevante Entscheidungen innerhalb des Unternehmens durch intern Zuständige, wie etwa Datenschutzkoordinatoren oder Abteilungsleitungen, zumindest vorzubereiten, wenn nicht gar treffen zu lassen. Nach außen hin verantwortlich bleibt jedoch in jedem Fall das Unternehmen.
Wann ist die DSGVO zu beachten?
Der Anwendungsbereich der DSGVO ist sehr weit gefasst. Nach Art. 2 Abs. 1 DSGVO umfasst er
„die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten
sowie die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.“
Diese sperrige Beschreibung umfasst im Wesentlichen alle Verarbeitungen personenbezogener Daten durch eine elektronische Datenverarbeitung (Computer, Scanner, Digitalkameras, Smartphones) sowie strukturierte analoge Datensammlungen (wie etwa ein sortiertes Aktenregal). Von dieser Definition – und damit von der Anwendbarkeit der DSGVO – nicht umfasst werden lediglich unsortierte analoge Datensammlung (z.B. unsortierte Zettelhaufen).
Für bestimmte Bereiche gibt es jedoch Sonderregeln (wie etwa für den Beschäftigtendatenschutz, vgl. § 26 BDSG) oder Ausnahmen von der Anwendbarkeit der DSGVO (s.u.).
Wann gilt die DSGVO nicht?
Natürlich ist die DSGVO nicht in jeder einzelnen Lebenssituation zu beachten. Sie ist primär auf Datenverarbeitungen im beruflichen oder wirtschaftlichen Kontext ausgerichtet. Daher gilt die DSGVO z.B. nicht im Rahmen ausschließlich persönlicher oder familiärer Tätigkeiten (sog. Haushaltsausnahme). Jede(r) kann daher ohne Beachtung irgendwelcher Vorgaben der DSGVO private E-Mail-Korrespondenz führen oder seine privaten Kontakte (auch elektronisch) verwalten (vgl. Erwägungsgrund 18). Allerdings verlässt man diesen „privaten“ Bereich schon wieder, wenn man etwa Fotos von Familienfeiern in öffentlich zugängliche Internetforen einstellt…
Wer Verstorben ist, der genießt im Übrigen auch keinen Schutz aus der DSGVO mehr (s. Erwägungsgrund 27). Auch die Erben werden kaum datenschutzrechtlich Ansprüche für den Verstorbenen geltend machen können.
Im Übrigen beansprucht die DSGVO auch keine Geltung für Tätigkeiten, die erst gar nicht dem EU-Recht unterfallen. Gleiches gilt für Tätigkeiten durch die Mitgliedstaaten im Bereich der Gemeinsamen Außen- und Sicherheitspolitik der EU sowie für Datenverarbeitung zur Verfolgung von Straftaten und zur Strafvollstreckung – hierfür ist die neue Richtlinie 2016/680/EU maßgeblich.
Zudem gilt für den sehr speziellen Bereich der „Datenverarbeitung durch Organe und Einrichtungen der Europäischen Union“ weiterhin die gesonderte VO (EG) Nr. 45/2001.
Gilt die Datenschutz-Grundverordnung nur in Europa?
Ein klares Nein! Denn neben der einleuchtenden Anwendbarkeit auf die Datenverarbeitung von Unternehmen mit Sitz (oder Niederlassung) in der EU gilt zusätzlich das „Marktortprinzip“.
D.h.: werden personenbezogene Daten im Zusammenhang mit Angeboten von Waren oder Dienstleistungen in der europäischen Union verarbeitet, muss sich die verarbeitende Stelle ebenso an die Vorgaben der DSGVO halten, wie wenn sie das Verhalten betroffener Personen in der EU beobachten will (Art. 3 Abs. 2 DSGVO). Dadurch fällt der Kreis der Betroffenen deutlich weiter aus. Unter anderem freuen sich auch große Internetkonzerne wie Facebook (pardon: Meta) und Google darüber, die Vorgaben der DSGVO befolgen zu dürfen, da ihre Profilbildung ein eindeutiger Fall der Beobachtung des Verhaltens betroffener Personen in der EU darstellt.
Zur besseren Orientierung hat im Übrigen auch der Europäische Datenschutzausschuss „Leitlinien zum räumlichen Anwendungsbereich der DSGVO“ aufgestellt.
Was hat sich mit der DSGVO im Datenschutz grundlegend geändert?
Datenschutz war in der Bundesrepublik auch schon vor der DSGVO ein gewichtiges Thema. Durch die DSGVO sind aber ein paar bedeutsame Aspekte bzw. Anpassungen des früheren Datenschutzrechts hinzugekommen:
So hat die DSGVO die Dokumentations- bzw. Nachweispflichten für die Verantwortlichen erheblich erweitert. Die verantwortliche Stelle muss nun etwa die Einhaltung sämtlicher in Art. 5 genannten Datenschutzgrundsätze der DSGVO nachweisen können (sog. Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO). Der Dokumentationsaufwand steigt damit erheblich an. Auch die Anforderungen an die Informationen der Betroffenen sind strenger und umfassender geworden. Dass nicht nur über mehr Einzelheiten, sondern zugleich auch noch „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer einfachen und klaren Sprache“ unterrichtet werden soll (Art. 12 DSGVO), macht es den Verantwortlichen wahrlich nicht leicht – wie man aktuell auch an vielen datenschutzrechtlich unzureichenden Cookie-Consent-Managern erkennen kann.
Gleichwohl dürfen diese Informationspflichten nicht auf die leichte Schulter genommen werden, weil ein Verstoß hiergegen bußgeldbewehrt ist. Und die DSGVO sieht einen im Vergleich zur früheren Rechtslage wesentlich erhöhten Bußgeldrahmen vor – je nach Verstoß von bis zu 20 Millionen Euro oder im Fall eines Unternehmens von bis zu 4 % des gesamten weltweit (!) erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs. Schließlich sind auch die weiteren Betroffenenrechte (Art. 15 ff.) bedeutend ausgeweitet und in den Fokus der Öffentlichkeit gerückt worden. Insbesondere das Auskunftsrecht, dessen konkreter Umfang weiterhin Gegenstand der Rechtsfindung durch die Gerichte ist, stellt Unternehmen vor erhebliche, sowohl organisatorische als auch finanzielle, Herausforderungen.
Wie verhält sich die DSGVO zum nationalen Recht? Ersetzt sie das BDSG?
Die DSGVO gilt als Verordnung unmittelbar und geht als europäisches Recht dem nationalen Recht (also etwa dem BDSG) vor. Allerdings enthält sie in verschiedenen Konstellationen sog. Öffnungs- oder Spezifizierungsklauseln. Diese erlauben es den Mitgliedstaaten, für die in diesen Klauseln genannten Fälle eigene Regelungen zu erlassen, die z.B. eigene Rechtsgrundlagen für eine Datenverarbeitung schaffen können, eigene Bereiche selbständig (unter Einhaltung wesentlicher Aspekte der DSGVO) zu regeln, oder Regelungen der DSGVO zu spezifizieren.
Das BDSG (Bundesdatenschutzgesetz) bleibt insoweit insbesondere für den Bereich der öffentlichen Verwaltung relevant; es enthält aber auch allgemein anwendbare Normen wie etwa den § 26 BDSG, der den Beschäftigtendatenschutz regelt. Zur Beurteilung datenschutzrechtlicher Fragestellungen sind somit die Datenschutz-Grundverordnung und die Regelungen im Allgemeinen sowie gegebenenfalls auch im bereichsspezifischen nationalen Datenschutzrecht (sei es im Landes- oder Bundesrecht) im Zusammenhang zu lesen und anzuwenden.
Welche Kritik gibt es an der DSGVO?
An erster Stelle steht hier sicherlich der erhebliche Umsetzungsaufwand, gerade auch in Bezug auf die Kosten. Aber auch die o.g. Auskunftspflichten überfordern kleinere Betriebe regelmäßig. Hinzu kommen zahlreiche ungeklärte Rechtsfragen (nicht unüblich bei neuen Gesetzen) und das Dilemma oftmals unterschiedlicher Auslegungen durch einzelne (Landes-)Datenschutzaufsichten.
Im ersten Bericht der Kommission über die Bewertung und Überprüfung der DSGVO wurde festgestellt, dass es bei der Zusammenarbeit zwischen den Aufsichtsbehörden noch hapert. Zudem bemängelte die EU-Kommission eine noch unzureichende Zurverfügungstellung von Ressourcen an die Aufsichtsbehörden. Gerade für KMUs ist die DSGVO regelmäßig eine große Herausforderung. Die von den Aufsichtsbehörden (theoretisch) zu leistenden Hilfestellungen bleiben oftmals mangels personeller Kapazitäten bei den Behörden aus.
Ein weiterhin ungelöstes Problem stellt der Drittlandtransfer (insb. in die USA) dar. Zwar haben die neuen Standarddatenschutzklauseln der Kommission gewisse Erleichterung verschafft. Angesichts der Bedeutung der USA für die Digitalisierung bedürfte es aber dringend einer politischen Klärung, um den Datenverkehr zwischen der EU und den USA zu normalisieren.
Die DSGVO – ein fortlaufendes (Erfolgs-)Projekt
Es bleibt also noch einiges zu tun, um die Kinderkrankheiten der DSGVO in den Griff zu bekommen. Nichtsdestotrotz gilt sie bereits heute in der internationalen Wahrnehmung als echte Erfolgsgeschichte. Sie hat es zum Exportschlager geschafft, wird als Vorlage für zahlreiche neue Datenschutzgesetze weltweit genutzt und als „Goldstandard“ gelobt. Fast nebenbei bewirkt sie dadurch eine zunehmende Angleichung des Datenschutzstandards auf globaler Ebene und stärkt so auch die europäische Wirtschaft.
Sind Name, Vorname und Telefonnummer schon schützenswerte Daten?
Im § 3 Abs. 1 des Bundesdatenschutzgesetzes (BDSG) steht die Definition der personenbezogenen Daten. Danach sind personenbezogene Daten „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).“ Daraus wird deutlich, dass Name, Vorname und Telefonnumer bereits solche Einzelangaben sind. Bei der Einordnung in Datenkategorien (offen, intern, vertraulich, geheim) werden diese Daten von ihrer Schutzwürdigkeit her in die Kategorie „offen“ eingestuft werden. Damit wird an diese Daten auch ein anderer Schutzgrad angelegt werden.
Was sind besondere Arten personenbezogener Daten?
§ 3 Abs. 9 des Bundesdatenschutzgesetzes (BDSG) definiert besondere Arten personenbezogener Daten als „Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse und philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.“ Die Erhebung, Verarbeitung und Nutzung dieser Daten ist dann auch an besondere Voraussetzungen und besondere Sorgfältigkeit geknüpft.
Unter welchen Voraussetzungen dürfen personenbezogene Daten verarbeitet werden?
§ 4 des Bundesdatenschutzgesetzes (BDSG) sagt aus, dass personenbezogene Daten nur erhoben, verarbeitet oder genutzt werden dürfen, wenn das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder wenn der Betroffene ausdrücklich in der Verarbeitung seiner Daten eingewilligt hat. Weiterhin gilt für privatrechtliche Datenverarbeiter auch insbesondere § 28 Abs.(1) 1., wonach personenbezogene Daten auch erhoben, verarbeitet, genutzt und übermittelt werden dürfen, wenn die verantwortliche Stelle ein vertragliches oder vertragsähnliches Vertrauensverhältnis (Bsp.: Arbeitsvertrag) bezüglich der personenbezogenen Datenverarbeitung unterhält. Unter 2. desselben Absatzes wird noch ergänzt, dass diese Datenverarbeitung auch zur Wahrung berechtigter Interessen der verantwortlichen Stelle möglich sein kann. In jedem Falle muss jedoch die Zweckbindung der Erhebung, Verarbeitung, Nutzung und Übermittlung dieser personenbezogenen Daten gewahrt bleiben.
Darf ich beim Telefonieren den Lautsprecher einschalten, um anderen Personen im Raum das Mithören zu ermöglichen?
Auch für dienstliche Telefonate gilt der Schutz des Post- und Fernmeldegeheimnisses. Daher muss der Gesprächspartner am anderen Ende darauf hingewiesen werden, dass die Mithöreinrichtung aktiviert wird. Der Gesprächspartner hat somit die Gelegenheit dem Ansinnen auch zu widersprechen. Auch das Schalten von Telefonkonferenzen muss allen Teilnehmern vorher mitgeteilt werden.
Wie kann ich verhindern, dass bei der Übermittlung von WORD-Dateien die Anzeige von Änderungsständen in falsche Hände gerät?
Die Office – Funktionalität des Verfolgens von Änderungen ist bei der Bearbeitung von Dokumenten durch mehrere Bearbeiter eine gewünschte Funktion. Werden diese Dokumente jedoch an andere Personen, Institutionen oder Firmen übermittelt ist diese Funktionalität jedoch nicht erwünscht und sogar schädlich. Auch das Abspeichern unter einem anderen Namen schafft keine Abhilfe. Lediglich durch Kopieren des kompletten Dokumentes in andere Datei und das anschließende Speichern unter anderem Namen beseitigt diese Spuren. Dennoch empfiehlt es sich, lediglich Entwurfsdokumente in elektronischer Form als bearbeitbare Dokumente weiter zu geben. Endgültige Fassungen sollten immer als PDF – Dateien, mit einem Schreibschutz versehen, übermittelt werden.
Muss ich verhindern, dass andere Mitarbeiter Zugriff auf meinen PC haben? Wie kann ich das realisieren, wenn ich nur einmal kurz den Arbeitsplatz verlasse?
Grundsätzlich ist jeder, der personenbezogene Daten erhebt, verarbeitet und nutzt für alle Phasen dieser personenbezogenen Datenverarbeitung verantwortlich. Das schließt auch ein, dass Dritte, dies sind auch Kollegen, diese Daten nicht unbefugt nutzen dürfen. Es sollte noch erwähnt werden, dass bei einem Missbrauch der eigenen Nutzerkennung, der auf Fahrlässigkeit zurück zu führen ist, der Nutzer, dessen Kennung benutzt wurde u.U. selbst dafür haften muss.Bei kurzzeitigem Verlassen des Arbeitsplatzes kann man durch Aktivierung des passwortgeschützten Bildschirmschoners seinen Arbeitsplatz sperren. Dazu ist es jedoch notwendig eine hinreichend kurze Zeit einzustellen, nach der der Bildschirmschoner erscheint und die Passwort – Eingabe zu aktivieren. Eine zweite Variante ist durch Drücken der Tastenkombination „Strg – Alt – Entf“ die Arbeitsstation zu sperren.
Dürfen personenbezogene Daten (hier nur Name, Vorname und Geburtsdatum) per Email übermittelt werden?
Personenbezogene Daten, das sind auch schon Name, Vorname und Geburtstag, müssen sorgfältig behandelt werden. Das schließt ein, dass diese Daten auch nicht Unbefugten zur Kenntnis kommen. Der Dienst Email (also elektronische Post) ist ein öffentlicher Postdienst, der vergleichbar ist mit einer öffentlichen Postkarte. Ohne zusätzliche Sicherungsmechanismen kann eine Mail von theoretisch jeder Stelle im Internet mitgelesen werden. Externe Mails (also außerhalb unseres geschützten Intranet) werden über so genannte Knoten – Rechner geleitet. Dort besteht insbesondere die Möglichkeit der Kenntnisnahme dieser Daten. Aus diesem Grund sollten personenbezogene Informationen, wenn notwendig, nur verschlüsselt per Email übermittelt werden.
Dürfen Fotos von Mitarbeitern an Informationstafeln veröffentlicht werden?
Das Recht am eigenen Bild (ob als Kunstwerk oder als einfache Fotografie, wobei eine solche auch als Kunstwerk definiert werden kann) ergibt sich aus dem Urheberrechtsgesetz (UrhG). Danach kann jeder selbst bestimmen, in welchem Umfang und zu welchem Zweck sein eigenes Bild veröffentlicht wird. Das bedeutet im konkreten Fall, dass der Betroffene dieser Veröffentlichung selbst zustimmen muss. Diese Zustimmung kann er jederzeit wirderrufen. Aus einer Ablehnung dürfen keinem Mitarbeiter arbeitsrechtliche Nachteile entstehen.
Sind betriebsinterne Telefonverzeichnisse auch schützenswerte, personenbezogene Daten?
Auch betriebsinterne, personenbezogene Verzeichnisse (dazu gehören auch Telefonverzeichnisse) sind Unterlagen, die in den Geltungsbereich des Bundesdatenschutzgesetzes fallen. Dies ist unabhängig davon, ob diese in gedruckter oder maschinenlesbarer Form vorliegen. Damit gelten die gleichen Bedingungen für den Umgang mit diesen Verzeichnissen, wie mit anderen personenbezogenen Daten. Das heißt konkret: Gedruckte Telefonverzeichnisse sollen Unbefugten (dazu zählen auch Gäste) nicht zugänglich sein. Beim Verlassen des Arbeitsplatzes sollte das gedruckte Verzeichnis mindestens im verschlossenen Schreibtischfach verwahrt werden. Anzeigen des Telefonverzeichnisses am Bildschirm sollten auch bei kurzfristigem Verlassen des Arbeitsplatzes durch Aktivierung des Bildschirmschoners oder durch kurzzeitiges Abmelden deaktiviert werden.
Muss ich Auskunft geben, wenn eine Person über Ihre gespeicherten Daten diese verlangt? Welche Kosten werden dafür erstattet?
Nach § 19 (BDSG) ist dem, von personenbezogener Datenverarbeitung Betroffenen auf seinen Antrag hin Auskunft über seine gespeicherten Daten zu geben. Auch eventuelle Empfänger dieser Daten müssen benannt werden. Weiterhin ist der Zweck der Speicherung dieser Daten näher zu bezeichnen. Das Auskunftsrecht ist eines der so genannten unabdingbaren Rechte des Betroffenen. Die Auskunft muss kostenfrei erfolgen.
Wo ist der Arbeitnehmerdatenschutz gesetzlich geregelt?
Bisher gibt es nur punktuelle gesetzliche Regelungen zum Arbeitnehmerdatenschutz (AN-Datenschutz), so z.B. §§ 3 Abs. 11 und 32 des Bundesdatenschutzgesetzes (BDSG). Der Großteil praktizierter Entscheidungen zum AN-Datenschutz entstammen dem so genannten Richterrecht. Das bedeutet konkret, dass auf Grund richterlicher Entscheidungen Arbeitnehmerdatenschutz praktiziert wird. Derzeit existiert ein Regierungsentwurf zum Arbeitnehmerdatenschutz. Dieser befindet sich im Gesetzgebungsverfahren und wird voraussichtlich 2011 in Kraft treten.