|
Grundlageninfos und hilfreiche Links zur Datenschutzgrundverordnung (DSGVO)
Die DSGVO regelt ab 25.05.2018 europaweit das Allgemeine des
Datenschutzes, das in anderen Vorschriften - sei es im europäischen
oder im nationalen Recht der Mitgliedsstaaten - in den einzelnen
Rechtsbereichen (z.B. im Sozialgesetzbuch: Sozialdatenschutz) weiter
konkretisiert werden kann. Bundesdatenschutzgesetz (BDSG - neue
Fassung von 2018) und die
aktualisierten Datenschutzgesetze der Länder greifen diesen allgemeinen Rechtsrahmen
auf und gestalten ihn 2018 neu aus, im Rahmen der vorgegebenen
Gestaltungsmöglichkeiten.
Zu klären ist zunächst die
Anwendbarkeit der DSGVO
Die Verordnung ist nur bei automatisierter Verarbeitung personenbezogener
Daten oder bei Verwendung von Dateisystemen anzuwenden:
"Diese Verordnung gilt für die ganz oder teilweise automatisierte
Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte
Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert
sind oder gespeichert werden sollen." (Art. 2 Abs. 1 DSGV)
Die
Verordnung findet keine Anwendung bei
natürlichen Personen im ausschließlich privaten und familiären Zusammenhang, jedoch bei Körperschaften und im beruflichen
Kontext:
"Diese Verordnung findet keine Anwendung auf die Verarbeitung
personenbezogener Daten (...) durch natürliche Personen zur Ausübung
ausschließlich persönlicher oder familiärer Tätigkeiten." (Art. 2 Abs.
1 DSGV)
Somit ist die DSGVO anzuwenden bei Freiberuflern,
Unternehmen, Behörden aber auch bei Vereinen und anderen Körperschaften,
sofern sie automatisiert oder in Dateisystemen personenbezogene Daten
verarbeiten.
Begriffsbestimmung "personenbezogene Daten"
In Art. 4 DSGVO heißt es:
"Im Sinne dieser Verordnung bezeichnet der
Ausdruck
1. 'personenbezogene Daten' alle Informationen, die sich auf
eine identifizierte oder identifizierbare (im Folgenden 'betroffene Person')
beziehen;"
Im Datenschutz gilt das Grundprinzip des
Verbots mit Erlaubnisvorbehalt
Das bedeutet, dass das Erheben, Verarbeiten und Nutzen von personenbezogenen Daten
grundsätzlich verboten ist. Es sei denn, eine Rechtsnorm erlaubt dies oder
es liegt eine wirksame Einwilligung des Betroffenen vor (Art. 6 DSGVO -
"Rechtmäßigkeit der Verarbeitung"). Sofern nicht von einer
Erforderlichkeit ausgegangen werden kann, ist dabei eine Einwilligung
einzuholen.
Etablierte Datenschutzprinzipien
Die
bereits durch europäisches Recht und deutsche Datenschutzgesetze etablierten
Prinzipien wie Transparenzgebot, Zweckbindung,
Erforderlichkeit, Datensparsamkeit etc. bleiben nach wie vor
erhalten, werden durch die DSGVO und das neue BDSG aber zum Teil verschärft
bzw. konkretisiert.
Verhältnis zu anderen Grundrechten
Der Datenschutz stellt ein Grundrecht dar (Erwägungsgrund 1 DSGVO), das
allerdings nicht uneingeschränkt gilt, sondern nach dem
Verhältnismäßigkeitsgrundsatz gegen andere Grundrechte abgewogen werden muss
(Erwägungsgrund 4 DSGVO).
Klärungen durch die Verantwortlichen
Die rechtlich
Verantwortlichen der jeweiligen verantwortlichen Stelle sind in der Pflicht
zu klären, was nach Datenschutzrecht zu tun ist, was nachfolgende Fragen
beispielhaft konkretisieren:
Welche Pflichten gibt es für die
Verantwortlichen?
(Kap. 4: Verantwortlicher und
Auftragsverarbeiter)
- Sind die Allgemeinen Bestimmungen und
Grundsätze der DSGVO verstanden und im Blick? (Kap. I und II)
- Sind die
Prozesse definiert, die personenbezogene
Daten betreffen?
-
Sind die erforderlichen technisch-organisatorischen Sicherheitsmaßnahmen
getroffen worden, um die personenbezogenen Daten angemessen zu schützen?
(Art. 32 DSGVO - "Sicherheit der Verarbeitung").
- Sind alle
Mitarbeitenden, die mit personenbezogenen
Daten operieren, in das Konzept zum Umgang mit den Daten eingebunden?
- Sind die
Rechte von
Betroffenen im Blick? (Kap. III, Art. 12-23 DSGVO).
- So ist etwa zu beachten, ob
besonders sensible Daten ("besondere Kategorien personenbezogener Daten") betroffen sind, für die es spezielle Vorgaben gibt.
(Art. 9 DSGVO)
- Werden die Vorgaben für wirksame
Einwilligungen eingehalten (wie Kopplungsverbot, Freiwilligkeit,
Bestimmtheit, Informiertheit, Unmissverständlichkeit) und werden mögliche
Einwilligungen angemessen dokumentiert? (Art. 7 DSGVO).
Dabei gilt es in der Umsetzung etwa folgende Fragen nicht aus
dem den Blick zu verlieren:
- Ist ein Datenschutzbeauftragter zu bestellen
und der Aufsichtsbehörde zu benennen? (Art. 37 DSGVO,
Konkretisierung in § 38 BDSG).
- Bedarf
es einer Datenschutz-Folgeabschätzung? (Art. 30 DSGVO).
-Existiert ein Verzeichnis der Verarbeitungstätigkeiten
personenbezogener Daten? (Art. 30 DSGVO).
- Sofern personenbezogene Daten
von Dritten im Auftrag verarbeitet werden:
Wurde ein Vertrag zur
Auftragsverarbeitung geschlossen? (Art. 28 DSGVO)
- Ist geklärt
wie mit möglichen Datenschutzverstößen (Art. 4 Nr. 12
DSGVO) umgegangen wird wie etwa eine
Meldung an die Aufsichtsbehörde bzw. die Betroffenen erfolgt?
(Art. 33 und 34 DSGVO)
Die Vorschriften in Bezug auf technisch-organisatorische
Maßnahmen
gelten natürlich auch für Internetangebote. Dabei gibt es
besondere
Anforderungen, so dass die Datenschutzerfordernisse auch hier wirksam
werden. So können weitere konkretisierende Fragen dazu kommen:
- Gibt es
eine Datenschutzerklärung aus der der Umgang mit den
personenbezogenen Daten nachvollziehbar hervorgeht und die dem
Transparenzgrundsatz und den Informationspflichten entspricht? (Art. 12 - 15
DSGVO)
- Werden mögliche Einwilligungen auch
im Internet rechtskonform (z.B.
Kopplungsverbot, transparentes und bewusstes Einwilligen, s. oben) erhoben
und dokumentiert? (Art. 7 DSGVO).
- Ist
sichergestellt, dass die Einwilligenden bereits das16. Lebensjahr vollendet
haben? (Art. 8 DSGVO).
Für Berufsgeheimnisträger nach
§ 203 StGB ist zu beachten, dass es Anforderungen an den
Geheimnisschutz geben kann, die über die Pflichten der DSGVO hinausgehen.
Besondere Vorschrift in Bezug auf Geheimhaltungspflichten ist
§ 29 BDSG (neu) in Bezug auf die
"Rechte der betroffenen Person und aufsichtsbehördliche Befugnisse im
Fall von Geheimhaltungspflichten". Darin wird das Verhältnis zwischen
Geheimhaltungspflichten und den DSGVO-Vorschriften konkretisiert.
Bei Internetangeboten ist zu beachten, dass von der
Europäischen Union über die DSGVO hinaus eine E-Privacy-Verordnung
in Vorbereitung ist, die realistischerweise 2019 in Kraft treten
könnte. Dabei würden die Erfordernisse im Internet noch weitergehend
geregelt.
Rechtsvorschriften
Der Verordnungstext der DSGVO auf der
Seite der Europäischen Union (EU):
Verordnung (EU) 2016/679.
Das neue
Bundesdatenschutzgesetz (BDSG) - Fassung von 2018
Weitere Rechtsvorschriften
(hier im Portal)
Hilfreiche Internetseiten mit Borschüren, qualifizierten Mustern und
Links
Es ist empfehlenswert
über die hier benannten Beispielfragen hinaus, die gesamten Aspekte
systematisch in den Blick zu nehmen. Einen guten Überblick
bietet die Broschüre mit Verordnungs- und Gesetzestexten der
Bundesdatenschutzbeauftragten im PDF-Format zum Download:
Broschüre (PDF) der Bundesdatenschutzbeauftragten
Musterdatenschutzerklärung
vom Institut für Informations-, Telekommunikations- und Medienrecht -
Prof. Dr. Thomas Hoeren und Mitarbeitende:
https://www.uni-muenster.de/Jura.itm/hoeren/en/
Direkt-Link:
Musterdatenschutzverordnung (Word-Format), Uni Münster
Praxishilfen zur Umsetzung der DSGVO der Gesellschaft für
Datenschutz und Datensicherheit:
Praxishilfen
Handreichung mit Musterverzeichnissen von Verarbeitungstätigkeiten
für kleinere Unternehmen und Vereine vom Bayerischen Landesamt für
Datenschutzaufsicht:
Handreichung
Weitere hilfreiche Praxisinfos zur Umsetzung der DSGVO, insbesondere
für den psycho-sozialen und heilkundlichen Bereich hat die Deutsche
Gesellschaft für Systemische Therapie, Beratung und Familientherapie (DGSF) zusammengestellt:
Linkliste
>>> weiter
|