Datenschutz: Datenverarbeitung und Informationspflichten - PDF
Document Details
Uploaded by AchievablePlateau
Deutsche Hochschule für angewandte Wissenschaften
Tags
Summary
Dieses Dokument beschäftigt sich mit dem Thema Datenschutz. Es werden Grundprinzipien der Datenverarbeitung, Informationspflichten und die Rechte betroffener Personen erläutert. Es werden wichtige Aspekte der DSGVO (Datenschutz-Grundverordnung) behandelt.
Full Transcript
Datenschutz 4 Datenverarbeitung 4.1 Grundprinzipien und Rechtmäßigkeit Unter dem Begriff Datenverarbeitung versteht die DSGVO alle Vorgänge, die im Zusammenhang mit personenbezogenen Daten stehen, unabhängig da- von, ob sie mit oder ohne Hilfe von automatisierten Verfahren ausgeführt werden. Dami...
Datenschutz 4 Datenverarbeitung 4.1 Grundprinzipien und Rechtmäßigkeit Unter dem Begriff Datenverarbeitung versteht die DSGVO alle Vorgänge, die im Zusammenhang mit personenbezogenen Daten stehen, unabhängig da- von, ob sie mit oder ohne Hilfe von automatisierten Verfahren ausgeführt werden. Damit ist beispielsweise die Erhebung, das Erfassen, die Organisation, das Ordnen, die Speicherung, eine Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung oder eine andere Form der Bereitstellung, ein Abgleich oder eine Verknüpfung, eine Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten gemeint. Im Prinzip gibt es nichts, das man mit personenbezogenen Daten tun kann, ohne sie in irgendeiner Form zu verarbeiten. Wie schon im Detail ausgeführt, ist die Verarbeitung personenbezogener Da- ten den Prinzipien der Rechtmäßigkeit, Verarbeitung nach Treu und Glau- ben, Datenminimierung, Richtigkeit, Speicherbegrenzung und Integrität und Vertraulichkeit unterworfen. Für den Verantwortlichen gilt auch eine ent- sprechende Rechenschaftspflicht. Die Rechtmäßigkeit einer Verarbeitung von personenbezogenen Daten ist dann gegeben, wenn zumindest eine Rechtsgrundlage, wie beispielsweise eine Einwilligung, die Erfüllung eines Vertrages, die Erfüllung einer rechtli- chen Verpflichtung oder das berechtigte Interesse des Verantwortlichen oder eines Dritten, vorliegen. 4.2 Informationspflichten und Betroffenenrechte Laut der DSGVO müssen den betroffenen Personen gewisse Informationen über die Datenverarbeitung zur Verfügung gestellt werden. Die Informati- onspflichten können danach unterschieden werden, ob die Daten direkt oder indirekt bei den Betroffenen erhoben wurden. Wenn die Daten bei der betroffenen Person selbst erhoben werden, sind folgende Informationen erforderlich: Namen und Kontaktdaten des Verantwortlichen gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten die Verarbeitungszwecke und Rechtsgrundlagen der Verarbeitung 50 Datenschutz im Falle einer Datenverarbeitung aufgrund berechtigter Interessen des Verantwortlichen bzw. eines Dritten sind die berechtigten Inte- ressen anzuführen gegebenenfalls die Empfänger oder Kategorien von Empfängern der Daten falls die Absicht besteht, die Daten an ein Drittland oder eine inter- nationale Organisation zu übermitteln, muss auch darüber informiert werden. Das gilt auch für das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Europäischen Kommission die Dauer der Datenspeicherung bzw. die Kriterien für die Festlegung der Dauer die Betroffenenrechte auf Auskunft, Berichtigung, Löschung, Ein- schränkung, Datenübertragbarkeit und Widerspruch die Möglichkeit des Widerrufs der Einwilligung und dass im Falle ei- nes Widerrufs die Rechtmäßigkeit der Datenverarbeitung bis zum Zeitpunkt des Widerrufs nicht berührt wird das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erfor- derlich ist bzw. ob die betroffene Person verpflichtet ist, die perso- nenbezogenen Daten bereitzustellen gegebenenfalls über das Bestehen einer automatisierten Entschei- dungsfindung zu informieren, inklusive aussagekräftiger Informatio- nen über die Tragweite der Entscheidung Die Informationen sind den Betroffenen zum Zeitpunkt der Erhebung der Daten zur Verfügung zu stellen. Sollten die Daten für einen anderen als den ursprünglichen Zweck weiterverarbeitet werden, müssen vor der Weiterver- arbeitung auch Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen erteilt werden. Werden die Daten nicht bei der betroffenen Person selbst erhoben, ist zu- sätzlich zu den oben gelisteten Informationen anzuführen, aus welcher Quelle die personenbezogenen Daten stammen. Das können zum Beispiel öffentlich zugängliche Quellen sein. Der Verantwortliche muss die Informationen innerhalb einer angemessenen Frist nach der Erlangung der personenbezogenen Daten erteilen, spätestens aber innerhalb eines Monats. Falls die personenbezogenen Daten zur Kom- munikation mit der betroffenen Person verwendet werden, muss die Infor- mation spätestens zum Zeitpunkt der ersten Mitteilung erfolgen. Wenn die Offenlegung an einen anderen Empfänger beabsichtigt ist, muss die Infor- mation spätestens zum Zeitpunkt der ersten Offenlegung erfolgen. 51 Datenschutz Die Informationspflicht kann entfallen, wenn die betroffene Person bereits über die Informationen verfügt die Erteilung dieser Informationen unmöglich ist oder einen unver- hältnismäßig hohen Aufwand erfordert oder falls die Verwirklichung der Ziele der Verarbeitung unmöglich macht oder ernsthaft beein- trächtigt werden würde die Erlangung oder Offenlegung durch Rechtsvorschriften der Euro- päischen Union oder der Mitgliedstaaten ausdrücklich geregelt ist oder die personenbezogenen Daten gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten dem Berufsgeheimnis oder einer satzungs- mäßigen Geheimhaltungspflicht unterliegen und daher vertraulich behandelt werden müssen. Der Verantwortliche muss geeignete Maßnahmen treffen, um der betroffe- nen Person alle Informationen in einer präzisen, transparenten, verständli- chen und leicht zugänglichen Form in einer klaren und verständlichen Spra- che zu übermitteln. Die Übermittlung kann dabei schriftlich, elektronisch oder in einer anderen Form erfolgen. Wenn die Informationen für die Öffentlichkeit bestimmt sind, können Sie nach einer entsprechenden Abwägung beispielsweise auch auf einer Website erfolgen. Auch für die Betroffenenrechte gilt, dass der betroffenen Person alle Infor- mationen in einer präzisen, transparenten, verständlichen und leicht zu- gänglichen Form in einer klaren und einfachen Sprache übermittelt werden müssen. Die Übermittlung der Informationen kann dabei schriftlich, elektronisch oder in einer anderen Form erfolgen. Stellt die betroffene Person den Antrag elektronisch, sollte die Beantwortung nach Möglichkeit ebenfalls auf elekt- ronischem Weg erfolgen. Falls die betroffene Person es wünscht, kann die Information auch mündlich erteilt werden. Informationen und alle Mitteilungen sowie die entsprechenden Maßnah- men müssen unentgeltlich zur Verfügung gestellt werden. Nur im Falle von offenkundig unbegründeten oder exzessiven Anträgen kann der Verant- wortliche ein angemessenes Entgelt verlangen oder sich sogar entsprechend verweigern. 52 Datenschutz 4.3 Verzeichnis der Verarbeitungstätigkeiten Die Erstellung eines Verarbeitungsverzeichnisses ist sowohl eine rechtliche Verpflichtung als auch notwendig, um überhaupt die Rechtmäßigkeit der durchgeführten Datenverarbeitungen zu überprüfen. Wenn sich ein Unternehmen im Rahmen seiner Datenschutzstrategie ent- schieden hat, aus personenbezogenen Daten auch einen wirtschaftlichen Wert zu erzielen, ist die Erstellung des Verzeichnisses der Verarbeitungstä- tigkeiten auch eine gute Möglichkeit, um die entsprechenden Grundlagen dafür zu ermitteln.45 Die Informationen, die in einem Verarbeitungsverzeichnis enthalten sein müssen, werden im Kapitel 2.10 Verzeichnis der Datenverarbeitungstätigkei- ten aufgeführt. Die meisten der im Verarbeitungsverzeichnis enthaltenen In- formationen müssen auch im Rahmen der Datenschutzerklärung offenge- legt werden. Aus rechtlicher Sicht ist es nicht erforderlich, dass mehr als das Minimum im Verzeichnis der Verarbeitungstätigkeiten dokumentiert wird. Allerdings kann die Effizienz des Datenschutzmanagements erhöht werden, wenn wei- tere Aspekte dokumentiert werden. So kann beispielsweise zusätzlich fest- gehalten werden, ob für einzelne Verarbeitungstätigkeiten eine Daten- schutz-Folgenabschätzung erforderlich ist oder nicht. Zusätzlich kann das Verarbeitungsverzeichnis auch mit anderen Dokumen- ten, wie zum Beispiel der Datenschutzmitteilung oder einem Muster für die Einwilligungserklärung, verknüpft werden. 4.4 Regeln zum internationalen Datenverkehr Gemäß den Bestimmungen der Datenschutz-Grundverordnung ist der inter- nationale Datenverkehr bis auf wenige Sonderfälle genehmigungsfrei. In we- nigen Fällen ist eine Information der Aufsichtsbehörde sowie an die Be- troffenen notwendig, wenn zum Beispiel die Übermittlung der Daten für die Wahrung zwingender Interessen des Verantwortlichen erforderlich ist, die Zahl der betroffenen Personen begrenzt ist und die Übermittlung einmalig erfolgt. Grundsätzlich unterliegt der Datenverkehr innerhalb der EU aufgrund des durch die DSGVO gewährleisteten gleichen Datenschutzniveaus keinen Be- schränkungen. Das unionsweit gewährleistete Schutzniveau für natürliche Personen darf bei der Übermittlung personenbezogener Daten aus der 45 Vgl. Feiler, Lukas und Bernhard Horn (2018), S. 14. 53 Datenschutz Union an Verantwortliche, Auftragsverarbeiter oder andere Empfänger in Drittländern aber nicht untergraben werden. Dasselbe gilt auch für die Wei- terübermittlung aus einem Drittland an Verantwortliche oder Auftragsver- arbeiter in demselben oder einem anderen Drittland. Im Kapitel 2.13 Datenübermittlung an Drittländer wird näher ausgeführt, mit welchen Ländern von Seiten der Europäischen Union Sonderregelungen ge- troffen wurden. Die Datenübermittlungen in ein Drittland müssen im Verarbeitungsverzeich- nis dokumentiert werden. Zusätzlich besteht auch eine Informationspflicht gegenüber den Betroffenen, sobald Daten in ein Drittland übermittelt wer- den sollen. 4.5 Datensicherheitsmaßnahmen Jeder Verantwortliche und jeder Auftragsverarbeiter ist gemäß der DSGVO verpflichtet, angemessene Sicherheitsmaßnahmen zu implementieren, um die Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Da- ten sicherzustellen. Dabei sollten Unternehmen darauf achten, dass die Si- cherheit personenbezogener Daten nicht nur als ein Problem der IT-Sicher- heit behandelt wird. Dies gewährleistet, dass personenbezogene Daten auch dann geschützt sind, wenn sie nicht in elektronischer Form vorliegen. Abbildung 5: Die Grundwerte in der Informationssicherheit46 46 Abbildung i.A.a.: https://www.computerwoche.de/i/detail/artikel/2555531/1/1881199 /EL_mediaN100F6/ 54 Datenschutz Angemessene Sicherheitsmaßnahmen umfassen nicht nur technische, son- dern auch administrative und physische Maßnahmen. Ob das implemen- tierte Sicherheitsniveau tatsächlich ausreichend war, stellt sich oft erst im Nachhinein heraus, wenn es bereits zu einer Sicherheitsverletzung gekom- men ist. Auch die Tatsache, dass andere vergleichbare Unternehmen eben- falls keine bessere Sicherheit bieten, deutet nicht zwingend auf ein hinrei- chendes Sicherheitsniveau hin. Als Richtschnur für die Implementierung von Sicherheitsstandards können allgemeine Standards zur IT- und Informationssicherheit herangezogen werden. In Deutschland ist beispielsweise die ISO/IEC 27001 weit verbreitet, die detaillierten Empfehlungen zu Informationssicherheitsmanagementsys- temen enthält und die Grundlage für viele Sicherheitsrichtlinien bildet. Eine Zertifizierung gemäß ISO/IEC 27001 ist gemäß der DSGVO nicht erfor- derlich, jedoch ein gutes Indiz dafür, dass der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen ergriffen hat. Für technische Sicherheitslücken gibt es fundierte Informationsquellen, so- wohl zu den gefährlichsten Arten von Sicherheitslücken als auch zu spezifi- schen Sicherheitslücken in bestimmten Softwareprodukten. Wenn potenzi- elle Sicherheitslücken ausgemacht werden, können durch gezielte Qualitäts- managementmaßnahmen bereits bei der Softwareentwicklung die größten Fehler vermieden werden. Wenn Verträge mit externen Dienstleistern abge- schlossen werden, können potenzielle Sicherheitslücken durch Gewährleis- tungs- und Haftungsklauseln abgedeckt werden. Es sollte auch sichergestellt werden, dass kritische Sicherheitslücken inner- halb kürzester Zeit geschlossen werden können. Dazu können beispielsweise Sicherheitsupdates oder entsprechende Workarounds installiert werden. Für kritische Sicherheitslücken, die hochriskante Datenverarbeitungstätig- keiten betreffen, sind teilweise Reaktionen innerhalb von wenigen Stunden erforderlich. Eigene Penetrationstests – im Sinne von Versuchen, die eigenen Systeme zu hacken – sind laut der DSGVO nicht zwingend erforderlich und oft auch nicht zweckmäßig.47 Es wird jedoch empfohlen, regelmäßig die Sicherheit der IT-Infrastruktur zu überprüfen und Schwachstellen zu identifizieren, um frühzeitig Maßnahmen zur Verbesserung der Sicherheit zu ergreifen. 47 Vgl. Feiler, Lukas und Bernhard Horn (2018), S. 166. 55 Datenschutz Datensicherheitsmaßnahmen sind ein zentraler Bestandteil des Datenschut- zes. Sie umfassen sowohl technische als auch organisatorische Maßnahmen und sollten auf internationalen Standards wie ISO/IEC 27001 basieren, um Merksatz die Anforderungen der DSGVO zu erfüllen. Penetrationstests sind nicht zwingend erforderlich, können aber eine sinnvolle Ergänzung zur Überprü- fung der Systemsicherheit darstellen. 4.6 Umsetzung des Datengeheimnisses Das Datengeheimnis ist im Datenschutzgesetz geregelt und verpflichtet so- wohl den Verantwortlichen und seine Auftragsverarbeiter als auch deren Mitarbeiterinnen zur Geheimhaltung von personenbezogenen Daten. Dabei ist zu beachten, dass Arbeitnehmer personenbezogene Daten nur aufgrund einer ausdrücklichen Anordnung ihres Arbeitgebers übermitteln dürfen. Der Verantwortliche, der Auftragsverarbeiter und ihre Mitarbeiterinnen müssen personenbezogene Daten aus Datenverarbeitungen, die ihnen aus- schließlich aufgrund ihrer berufsmäßigen Beschäftigung anvertraut wurden oder zugänglich geworden sind, unbeschadet sonstiger gesetzlicher Ver- schwiegenheitspflichten, geheim halten. Davon ausgenommen sind recht- lich zulässige Gründe für eine Übermittlung der Daten. Der jeweilige Arbeitgeber muss dafür sorgen, dass er zusätzlich zu entspre- chenden vertraglichen Verpflichtungen seine Mitarbeiter über die Folgen ei- ner Verletzung des Datengeheimnisses aufklärt. Der Arbeitgeber muss au- ßerdem dafür Sorge tragen, dass seine Arbeitnehmer das Datengeheimnis auch nach Beendigung des Arbeitsverhältnisses einhalten. In der Praxis können die notwendigen vertraglichen Verpflichtungen und Be- lehrungen in eine entsprechende Klausel im Arbeitsvertrag aufgenommen werden. 4.7 Löschpflicht Laut der DSGVO hat die betroffene Person bei Vorliegen bestimmter Gründe das Recht, vom Verantwortlichen die Löschung von personenbezogenen Da- ten zu verlangen. Davon unabhängig muss der Verantwortliche regelmäßig überprüfen, ob die von ihm verarbeiteten Daten gelöscht werden müssen. Dafür wurde der Begriff des Rechts auf Vergessenwerden eingeführt. Die Phrase „Recht auf Vergessenwerden“ wurde vom Oxford-Professor Vik- tor Mayer-Schönberger geprägt, der fordert, dass elektronisch gespeicherte Informationen generell mit einem Verfallsdatum ausgestattet sein sollten. 56 Datenschutz In der analogen Welt sei das Erinnern die Ausnahme und das Vergessen die Regel. Bei einem digitalen Gerät sei es aber genau umgekehrt, da das Ver- gessen einen aktiven Akt erfordert. Deshalb sei die digitale Welt an die ana- loge anzupassen.48 Das Recht auf Löschung besteht insbesondere dann, wenn die Datenverar- beitung niemals rechtmäßig war. Zum Beispiel in folgenden Fällen: die Daten wurden ohne festgelegten Zweck erhoben die Daten sind für den festgelegten Zweck nicht erforderlich die Daten werden ohne Rechtsgrundlage verarbeitet Das Recht auf Vergessenwerden besteht auch dann, wenn die Rechtswidrig- keit erst nachträglich eingetreten ist. Eine Anonymisierung von personenbezogenen Daten kann grundsätzlich ein mögliches Mittel zur Löschung sein. Im Falle einer der Entfernung des Perso- nenbezugs muss jedoch sichergestellt werden, dass weder der Verantwort- liche selbst noch ein Dritter ohne unverhältnismäßigen Aufwand einen Per- sonenbezug wiederherstellen kann. Ausnahmen von der Löschpflicht können nur erfolgen, wenn die Meinungs- und Informationsfreiheit betroffen ist, wenn eine rechtliche Verpflichtung besteht oder die Wahrnehmung einer dem Verantwortlichen übertragenen Aufgabe betroffen ist, wenn es um Angelegenheiten die öffentliche Gesund- heit betreffend geht, im Falle von Archivzwecken, von wissenschaftlichen oder statistischen Zwecken oder im Falle der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Wird einem Löschbegehren eines Betroffenen nicht entsprochen, müssen ihm innerhalb der vorgesehenen Bearbeitungsfrist die Gründe für die Ableh- nung mitgeteilt werden. Andernfalls muss die Löschung durchgeführt wer- den und die betroffene Person muss davon in Kenntnis gesetzt werden. 48 Vgl. Jahnel, Dietmar und Angelika Pallwein-Prettner (2021), S. 111. 57 Datenschutz Abbildung 6: Löschkonzept nach DSGVO49 In der Praxis ist die Entwicklung eines Löschkonzepts empfehlenswert, um den rechtlichen Verpflichtungen dauerhaft nachzukommen. Dazu ist vorab eine Sichtung sämtlicher personenbezogener Daten im Unternehmen sinn- voll. Dabei ist auch zu bedenken, dass Daten auf unterschiedlichen Daten- trägern gespeichert werden. Nicht zuletzt enthalten auch Multifunktionssys- teme und Drucker Festplatten. Es muss auch gewährleistet werden können, dass die Löschung nachhaltig erfolgt und keine Restinformationen auf den Datenträgern verbleiben. Nach einer entsprechenden Abwägung sollte für jeden Datenverarbeitungs- zweck eine eigene Löschfrist festgelegt werden. Bei der Klassifizierung von Daten sind nicht zuletzt auch gesetzliche Behaltefristen zu berücksichtigen. Während beispielsweise Bewerbungsunterlagen nach sechs Monaten ge- löscht werden müssen, wenn es zu keiner Anstellung gekommen ist, beträgt die übliche Aufbewahrungsfrist für Buchhaltungsunterlagen sieben Jahre. Bereich Behaltefrist Steuerrechtliche Aufbewahrungsfrist 7 Jahre Sonderbestimmung für Grundstücke 10 Jahre Unternehmensrechtliche Aufbewahrungsfrist 7 Jahre Gewährleistung „bewegliche Sachen“ 2 Jahre Gewährleistung „unbewegliche Sachen“ 3 Jahre Anspruch auf Ausstellung eines Dienstzeugnisses 30 Jahre Verfall von Ersatzansprüchen aus vorzeitiger Beendigung eines 6 Monate Arbeitsverhältnisses 49 Abbildung i.A.a.: https://keyed.de/blog/loeschkonzept-dsgvo/ 58 Datenschutz Geltendmachung von Ansprüchen wegen Diskriminierung bei 6 Monate Beförderung oder Bewerbung Krankengeschichten in Krankenanstalten 30 Jahre Behandlungsdokumentation von medizinischen Masseuren/ 10 Jahre Heilmasseuren Absolute Verjährung des Schadenersatzes 30 Jahre Tabelle 2: Gesetzliche Behaltefristen50 Eine Löschung im Sinne der DSGVO bedeutet also grundsätzlich eine physi- sche Löschung und nicht nur etwa nur eine Entfernung aus einem Verzeich- nis. Dazu muss der Datenträger entweder entsprechend überschrieben oder physikalisch zerstört werden. Davon ausgenommen sind Sicherungskopien, allerdings muss sichergestellt werden, dass durch das Einspielen der Daten aus einem Backup nicht bereits aus dem aktiven Datenbestand gelöschte Da- ten wiederhergestellt werden.51 Besonders relevant ist das Löschungsrecht beispielsweise im Zusammen- hang mit dem Auffinden von personenbezogenen Informationen in Suchma- schinen. So hat der Europäische Gerichtshof im Jahr 2014 veranschaulicht, dass Suchmaschinen direkt verpflichtet werden können, Daten aus ihren Su- chindizes zu entfernen. Und zwar auch dann, wenn die verarbeiteten Daten weder unvollständig noch richtig sind. Im zugrunde liegenden Fall fand ein Spanier nach der Eingabe seines Namens in der Google-Ergebnisliste einen Link zum Onlinearchiv einer Tageszeitung. Dort wurde sein Name im Zusammenhang mit einer Immobilienversteige- rung genannt, was seiner Einschätzung zufolge längst verjährt und somit ir- relevant war. Der Europäische Gerichtshof hat schließlich festgestellt, dass aufgrund der potenziellen Schwere des Vergehens keine Rechtfertigung durch wirtschaftliche Interessen des Suchmaschinenbetreibers an der Ver- arbeitung von Daten bestehe.52 Einerseits steht Betroffenen das Recht auf Löschung ihrer personenbezoge- nen Daten unter bestimmten Umständen zu, andererseits besteht für Ver- antwortliche auch eine Löschpflicht. Dabei ist zu beachten, dass die Daten Merksatz vollständig und restlos gelöscht werden müssen. 50 Vgl. Goger, Harald und Stefan Schoeller (2018), S. 26. 51 Vgl. Kunnert, Gerhard (2019), S. 61. 52 Vgl. Jahnel, Dietmar und Angelika Pallwein-Prettner (2021), S. 116. 59 Datenschutz Reflexionsfragen: Welche Ausnahmen von der Informationspflicht durch Reflexionsfragen den Verantwortlichen gibt es? Wie kann ein Verantwortlicher die Geheimhaltung von personenbezogenen Daten durch seine Mitarbeiterinnen sicherstellen? Welche Aspekte müssen bei einer Löschung von personenbezogenen Daten berücksichtigt werden? 60
