DIE Instanz

zum Datenschutz in Deutschland

DIE Instanz
zum Internationalen Datenschutz


Schlagworte:

Bundesdatenschutzgesetz
Personenbezogene Daten
Grundprinzipien
Datenschutzbeauftragter
Auftragsdatenverarbeitung
Grenzüberschreitender Datenverkehr innerhalb der EU
Grenzüberschreitender Datenverkehr außerhalb der EU
Safe Harbour Agreement
Datenaustausch in Konzernen
Email, Telefon etc.

 
Die EU Datenschutzgrundverordung kommt !

Die EU hat am 27. April 2016 die neue Datenschutzgrundverordnung (DSGV) veranschiedet, die spätestens am 25. Mai 2018 in allen EU Staaten verbindlich ist.
der nachfolgende Text bezieht sich auf das noch aktuell geltende Bundesdatenschutzgesetz (BDSG).
Es wird erwartet, dass das BDSG in 2017 ausser Kraft gesetzt und durch ein Gesetz zur Einführung der Datenschutzgrundverordung ersetzt wird.
Dieses "neue" Datenschutzgesetz wird die DSGV inmanchen Punkten ergänzen. Insbesondere die Dokumentationspflichten werden höher als bisher sein.
Dennoch kann man grob sagen, dass sich für Deutschland relativ wenig ändern wird - zumindest gemessen an anderen EU Ländern.

Sobald das Paralment das neue Gesetzt beschlossen hat, werde ich es hier vorstellen.
Im Moment ist keine Hektik angesagt.
Wer sich heute gewissenhaft nach dem BDSG richtet, wird in der Umstellung auf die DSGV wenig Probleme haben.


 

Bundesdatenschutzgesetz


Der Datenschutz in Deutschland ist durch das  Bundesdatenschutzgesetz (BDSG) geregelt. Es wurde 2009 überarbeitet und setzt die EU Direktive 95/46/EC zum Datenschutz in nationales Recht um.
Das BDSG  schützt natürliche Personen (also Mitarbeiter, Kunden, Lieferanten, Sie und mich) vor missbräuchlicher Nutzung ihrer personenbezogenen Daten. Juristische Personen (Firmen, Vereine etc.) sind vom BDSG nicht geschützt. In Italien unterliegen übrigens auch Firmendaten dem dortigen Datenschutzgesetz. 
Datenschutz setzt ein gewisses Maß an IT-Sicherheit voraus. Bespiel: Wenn Sie die bei Ihnen gespeicherten Daten nicht gegen unbefugten Zugriff sichern, ist der Datenschutz offensichtlich nicht gegeben.  
 
 
Personenbezogene Daten 
sind ALLE Daten die einer Person zugeordnet werden können, also auch schon so simple Dinge wie Adresse, Telefonnummer, E-Mail Adresse etc. Hier sehen wir schon erste Unterschiede im Datenschutz zwischen Europa und den USA. Die USA sehen z.B. solche  "allgemein zugängliche Informationen" NICHT als schützenswert an. Dieser Unterschied spielt im grenzüberschreitenden Datenverkehr in Länder außerhalb der EU eine wichtige Rolle.  
Sensibleren Informationen (das Gesetz nennt sie "besondere Informationen") über Krankheiten, politische Überzeugung, Gewerkschaftszugehörigkeit etc. genießen im BDSG einen besonderen Schutz und erfordern eine sogenannte "Vorabkontrolle" vor der Verarbeitung.
 

Grundprinzipien 
Nach dem  BDSG ist die Erhebung, Speicherung, Verarbeitung, Weitergabe und sonstige Nutzung personenbezogener Daten grundsätzlich verboten. Sie ist nur dann gestattet wenn

- andere Rechtsvorschriften dies erlauben oder gebieten.
z.B. Meldungen des Arbeitgebers an die Krankenkasse, Datenspeicherung im Einwohnermeldeamt 
 
- Die Daten zur Abwicklung eines Vertragsverhältnisses verarbeitet werden müssen.
z.B. Liefer- und Rechnungsanschrift; d.h. natürlich auch, dass Sie diese Daten NACH Beendigung des Vertragsverhältnisses wieder löschen müssen, es sein denn, vorrangige Rechtvorschriften erfordern eine längere Aufbewahrung (z.B. Rechnungen 8 Jahre) .
 
- die betroffene Person einwilligt;
eine pauschale Einwilligung ist hierbei nicht erlaubt - es muss konkret vereinbart werden, welche Daten zu welchen Zweck erhoben/gespeichert oder verarbeitet werden.
Das ist der Grund warum Sie heute überall entsprechende Erklärungen unterschreiben, z.B. bei Banken die Schufa-Klausel.  Im Internet wird Ihnen die Erklärung oft "untergeschoben" -  die entsprechenden Häkchen sind schon gesetzt - also immer schön aufpassen!
 
- Ein Unternehmen ein berechtigtes Interesse an der Verarbeitung Ihrer Daten hat, das dem Schutzbedürfnis der Person vorrangig ist. 
z.B. die Kreditprüfung bei einer Bank. 
Das "berechtigte" Interesse ist naturgemäß immer wieder Streitpunkt zwischen Firmen und Datenschützern. Auch Betriebsrat und Unternehmen haben hier mitunter sehr unterschiedliche Ansichten, welche Mitarbeiterdaten gespeichert/verarbeitet werden dürfen. Die Unternehmen legen den Begriff "berechtigtes Interesse" natürlich sehr weit aus.
 
- Die Daten zu dem Zweck verarbeitet werden, zu denen sie ursprünglich erhoben wurden (Zweckbestimmung).
Wenn also ein Unternehmen aus Sicherheitsgründen über Codekarten festhält, welcher Mitarbeiter wann in welchen Sicherheitsbereich war, so dürfen diese Daten anschließend nicht zur Überwachung der Arbeitszeiten verwendet werden.
 
- Angemessene technische und organisatorische Maßnahmen bestehen, um die personenbezogenen Daten zu schützen.
Das sind z.B. die Maßnahmen zu Verfügbarkeit, Vertraulichkeit und Integrität, die auf dieser Web-Site beschrieben sind.
Das BDSG hat extra ein Anlage zum §9, der die technischen und organisatorischen Maßnahmen beschreibt. Jeder IT-Verantwortliche sollte die 8 Punkte darin kennen.
 
Das ganze BDSG ist noch viel umfangreicher und komplexer, aber jetzt haben Sie einen guten Überblick über das Grundprinzip.

 
- zum Seitenanfang -
 

Datenschutzbeauftragter


Jedes Unternehmen, in dem 10 oder mehr Personen personenbezogene Daten verarbeiten, muss einen betrieblichen Datenschutzbeauftragten (DSB) bestellen. Eine Missachtung dieser Pflicht ist eine Ordnungswidrigkeit und kann mit bis zu EUR 25.000,- geahndet werden. Der Datenschutzbeauftragte muss schriftlich bestellt werden.
  
Der DSB überprüft die Einhaltung des BDSG im Betrieb und berichtet der Geschäftsführung (NICHT den Behörden !). 
Im Wesentlichen macht der DSB folgendes:  
 
1. Er erstellt ein Verfahrensregister, aus dem hervorgeht, in welchen IT-Systemen, welche personenbezogenen Daten - auf welcher Rechtsgrundlage - wie - warum - und durch wen verarbeitet werden. Dieses Verfahrensregister ist gesetzlich vorgeschrieben und kann von JEDERMANN eingesehen werden.

2. Der DSB prüft, ob die technischen und organisatorischen Maßnahmen ausreichen, den Schutz der personenbezogenen Daten zu gewährleisten. Hier wird die Beziehung zur IT-Sicherheit deutlich.

3. Er schult die Mitarbeiter, damit diese sich bei der Verarbeitung der personenbezogenen Daten an die Gesetze halten. 
 
Der betriebliche DSB muss  juristisch und technisch entsprechend fachkundig sein. Die Ausübung seines Amtes darf nicht in Konflikt mit seinen sonstigen Tätigkeiten stehen. Der Geschäftsführer,  IT-Leiter oder der Personalchef scheiden daher in der Regel aus.
Der Arbeitsaufwand des DSB in  einem mittelständischen Betrieb beträgt i.d.R. nur wenige Tage (1-5) pro Monat, nach einer Anlaufphase und guten Dokumentation evtl. noch weniger. Da lohnt es meistens nicht, einen eigenen  Mitarbeiter entsprechend teuer auszubilden. Freiberufliche betriebliche DSB's bieten sich hier als Lösung an. Schauen Sie mal auf meiner "Links"-Seite. Oder nehmen Sie Kontakt zur Gesellschaft für Datenschutz und Datensicherheit (GDD)  auf, in der viele freiberufliche DSB's organisiert sind. 
Wenn Sie sicher gehen wollen, bestellen Sie einen zertifizierten DSB.
Auch ich selber bin seit vielen Jahren GDD Mitglied und zertifizierter Datenschutzbeauftragter.
 
Es gibt noch den Bundes- und die Landesdatenschutzbeauftragten. Sie übernehmen die DSB Aufgabe in den Behörden des Bundes und der Länder. Die Landes-DSB's sind in der Regel auch Aufsichtsbehörde für den Datenschutz. Nach der Novelle des BDSG von 2009 können sie bei Verstössen die Verarbeitung von Daten untersagen. Lesen Sie dazu mehr beim  Bundesdatenschutzbeauftragten .
 

- zum Seitenanfang -
   

Auftragsdatenverarbeitung/Funktionsübertragung


Wenn Sie personenbezogene Daten von Dritten verarbeiten lassen, so nennt man das Auftragsdatenverarbeitung oder Funktionsübertragung. Die Abgrenzung ist für unsere Belange nicht so wichtig. Typische Beispiele sind die Erstellung der Lohn- und Gehaltsabrechnung durch einen Steuerberater oder eine Brief-Aktion an Ihre Kunden, die von einer Werbefirma für Sie organisiert wird (Sie haben die Adressdaten dazu geliefert).
Eine solche  Auftragsdatenverarbeitung oder Funktionsübertragung ist zulässig, muss aber vertraglich so geregelt sein, dass der Datenschutz gewährleistet ist. SIE als "Gralshüter" der Daten sind nämlich weiterhin für die Daten verantwortlich. Der Vertrag mit dem Dienstleister (z.B. Steuerberater) muss daher den Zweck der Datenverarbeitung präzise formulieren und die Einhaltung des BDSG vereinbaren.
Die GDD hat einen Mustervertrag bereitgestellt - in Fachkreisen manchmal salopp 11er Vertrag genannt (wegen §11 BDSG).
 
  
 

Grenzüberschreitender Datenverkehr innerhalb der EU


Aufgrund der harmonisierten Datenschutzgesetze innerhalb der EU, können Sie Datenverkehr zur Auftragsdatenverarbeitung innerhalb der EU weitestgehend so betrachten wie innerhalb der Bundesrepublik. Zusätzlich zur EU gilt dieses "Privileg" u.A. auch für Argentinien, Guernsey, die Insel Man, Kanada, Lichtenstein und die Schweiz, da diese Länder eine vergleichbares Datenschutzniveau haben.
Im konkreten Einzelfall sollten Sie einen Berater konsultieren. Auch hier mein  Verweis auf  die Gesellschaft für Datenschutz und Datensicherheit (GDD).
  
 
  

Grenzüberschreitender Datenverkehr außerhalb der EU


Fürwahr ein "heißes" Thema. Wie schon oben ausgeführt, haben selbst so zivilisierte Länder wie die USA ganz andere Vorstellungen zum Schutz personenbezogener Daten. Dort gelten z.B. Adressen nicht als schützenswert. Daher ist die Übermittlung, Speicherung, Verarbeitung, Nutzung  personenbezogene Daten außerhalb der EU zunächst einmal grundsätzlich verboten. Wenn ein ausreichendes Datenschutzniveau gewährleistet ist (Verträge, technisch/organisatorische Maßnahmen etc.) kann dies auf Antrag  von der  zuständigen Aufsichtsbehörde genehmigt werden. (Ausnahme: Safe Harbour, s. u.). Die Verträge mit dem ausländischen Unternehmen müssen der zuständigen Aufsichtsbehörde  vorgelegt werden. Sie prüft die Zulässigkeit der Verarbeitung und ob ausreichende vertragliche, organisatorische und technische  Regelungen vereinbart wurden, um den Datenschutz (nach unserem Verständnis) zu gewährleisten. Die EU stellt dazu auf ihren Web-Seiten Musterverträge zur Verfügung.  Darüber hinaus wird bewertet, ob der Vertrag in dem entsprechenden Land überhaupt durchsetzbar ist, also ob es z.B. eine funktionierende Rechtspflege gibt und keine dortigen nationalen Gesetze dem Vertrag entgegenstehen.  
Bei grenzüberschreitendem Datenverkehr außerhalb der EU sollten Sie in jedem Fall einen Berater zu Hilfe nehmen.
Am 18. Februar 2002 hat das Innenministerium von Baden-Württemberg klargestellt, dass ein Antrag auf Genehmigung NICHT notwendig ist, wenn die beteiligten Unternehmen die Musterverträge der EU Wort für Wort und OHNE Änderung übernehmen.
Die Datenschutzaufsichtsbehörden der anderen Bundesländer haben signalisiert, ebenso zu verfahren. 
 
  
 

Safe Harbour Agreement


Die Unterschiede im Datenschutz zwischen der USA und der EU sind teilweise so wesentlich, dass die EU in den USA kein "angemessenes Datenschutzniveau" gegeben sieht. Da aber die USA nun einmal größter Handelspartner der EU ist, und viele Konzerne in beiden Wirtschaftsräumen tätig sind, haben die EU Kommission und das US-Handelsministerium das sogenannte "Safe Harbour Agreement" geschlossen. Danach können US-Firmen sich freiwillig auf die Regeln des EU Datenschutzes verpflichten und entsprechend zertifizieren lassen. Nach einer solchen Zertifizierung sieht die EU dann ein  "angemessenes Datenschutzniveau" als gegeben. Der Datenverkehr von personenbezogenen Daten mit solchermaßen zertifizierten Firmen braucht dann NICHT mehr genehmigt werden (s.o.); er wird so behandelt, als ob dieses Unternehmen innerhalb der EU ansässig wäre. Eine Liste von Firmen, die dem Safe Harbour Agreement beigetreten sind, finden Sie hier.
 
 
- zum Seitenanfang -

 

Datenaustausch in Konzernen


Anders als in den USA gibt es in Deutschland keinen "Konzernvorbehalt". Die einzelnen Unternehmen innerhalb eines Konzerns sind im Sinne des BDSG (und fast aller Gesetze) genauso "Dritte" wie völlig unverbundene Unternehmen. Die Weitergabe, Speicherung, Verarbeitung und sonstige Nutzung personenbezogener Daten innerhalb eines Konzerns unterliegen also genau den gleichen Regeln wie bei untereinander völlig fremden Firmen. Der Konflikt  zwischen Konzern-Raison und Gesetzestreue hat schon manchem Manager graue Haare beschert - vor allem dann, wenn die Zentrale in USA sitzt. (denken Sie an die Genehmigungspflicht durch die zuständige Aufsichtsbehörde). Zwei typische Fälle:   
 
1. Die Konzernmuttergesellschaft macht in ihrem Rechenzentrum die Lohn- und Gehaltsabrechnung für die Mitarbeiter aller Konzerngesellschaften. Nach dem BDSG muss jede Konzerngesellschaft mit der Muttergesellschaft einen Vertrag schließen, der den Datenschutz der Mitarbeiterdaten gewährleistet. Die Mitarbeiter brauchen übrigens hierzu nicht ausdrücklich zustimmen, aber Sie müssen über die Sachlage informiert werden. Z.B. durch einen Hinweis auf der Abrechnung: "Diese Abrechnung wurde im Auftrag Ihres Arbeitgebers von der XYZ Holding AG erstellt".  Das Ganze ist noch etwas komplizierter. Sie sollten einen solchen Fall auf jeden Fall mit Ihrem Datenschutzbeauftragten diskutieren.  
 
2. Die Konzernmuttergesellschaft möchte eine "Skill-Datenbank" aller Konzernmitarbeiter einrichten und bittet die Personalchefs der einzelnen Konzerngesellschaften um entsprechende Daten mit Qualifikationen, Bewertung etc. der Mitarbeiter. Ohne Einwilligung der Mitarbeiter darf der Personalchef diesem Ansinnen NICHT stattgeben. Nach herrschender Meinung  dürfen innerhalb eines Konzerns nur Name, Firma, Abteilung und  dienstliche Anschrift, Telefon, Fax, Email  frei ausgetauscht werden. Alles andere, also schon die private Adresse bedarf der Zustimmung des Mitarbeiters.  Erklären Sie als deutscher Manager das einmal Ihrem amerikanischen Kollegen. Für den sind diese Daten innerhalb des Konzerns nach amerikanischer Rechtslage völlig frei transferierbar.  Im Übrigen hat in solche Fällen auch der Betriebsrat ein Wörtchen mitzureden.
 
 
 

E-Mail, Telefon etc.


In den meisten Unternehmen wird die private Nutzung von Telefon und Email gestattet oder zumindest geduldet. Zeitpunkt, Länge, Gegenstelle und Inhalte der privaten Telefonate/Emails unterliegt natürlich dem Datenschutz. Wenn Sie dienstliche und private Telefonate/Emails nicht voneinander trennen können, dann sind ALLE Telefonate/Emails geschützt. Diese Thematik ist recht komplex und wird von uns vorerst nicht weiter vertieft. Hier sind weitere einschlägige Gesetze zu berücksichtigen (Telekommunikationsgesetz, Fernmeldegeheimnis, etc.)
Auf der Seite zum Thema Compliance finden Sie eine pragmatische Lösung.
 
 
 
So - jetzt sind Sie sicher noch kein Datenschutzexperte. Aber ich hoffe, dass ich Ihnen das Wesentliche vermitteln konnte. Ihr Feedback ist mir als Email immer willkommen.
 
- zum Seitenanfang -


© 2001-2013 Hanns J. Proenen, Lohmar. Der Text ist urheberrechtlich geschützt. Alle Rechte vorbehalten. Die Verwendung der Texte und Bilder - auch auszugsweise - ohne vorherige schriftliche Genehmigung von Hanns J. Proenen ist strafbar. Das gilt insbesondere für die Vervielfältigung, Verwendung in Kursunterlagen oder elektronischen Systemen. 

Stand: 22. September 2016