Sie sind hier
E-Book

Die DSGVO verstehen und anwenden

Datenschutzkompetenz für Unternehmen

AutorMichael Rohrlich
Verlagentwickler.press
Erscheinungsjahr2018
Seitenanzahl184 Seiten
ISBN9783868027938
FormatePUB
KopierschutzWasserzeichen
GerätePC/MAC/eReader/Tablet
Preis19,99 EUR
Die im Mai 2018 in Kraft tretende EU-Datenschutz-Grundverordnung (DSGVO) stellt Datenschutzprinzipien auf, die weit über die bisherigen Regelungen hinausgehen. Auch die Strafen bei Nichterfüllung dieser Vorgaben werden empfindlich steigen, und es ist nicht übertrieben zu sagen, dass sie eine unmittelbare Existenzbedrohung, vor allem für kleinere Unternehmen, darstellen können. Erfahren Sie von Rechtsanwalt und Datenschutzexperten Michael Rohrlich, wie Sie Ihre Unternehmensprozesse anpassen müssen, um die Vorgaben der DSGVO zu erfüllen und rechtliche Fallstricke zu vermeiden. Michael Rohrlich setzt sich in seinem Buch mit den neuen Vorschriften auseinander und erläutert die Auswirkungen der DSGVO auf den Datenschutz in Unternehmen. Dieses Buch ist ein unverzichtbares Hilfsmittel für jeden Unternehmer und jeden, der sich beruflich mit Datenschutz befassen muss.

Michael Rohrlich ist Rechtsanwalt, Fachautor und Dozent. Seine beruflichen Schwerpunkte liegen unter anderem auf den Gebieten gewerblicher Rechtsschutz, Recht der neuen Medien und Telekommunikationsrecht. Bereits seit 1997 arbeitet er regelmäßig als Autor für diverse Print- beziehungsweise Onlinepublikationen und betreibt auch seine eigenen Webprojekte. Er ist darüber hinaus Autor mehrerer Bücher.

Kaufen Sie hier:

Horizontale Tabs

Leseprobe

2 Begriffe

Auf dem Gebiet des Datenschutzes ist es wichtig, dass ein bestimmtes Vokabular vorhanden ist – das gilt unter der DSGVO und das galt auch vorher schon. Denn nur dann, wenn man weiß, was die Begriffe „personenbezogene Daten“, „Verantwortlicher“, „Betroffener“ etc. bedeuten, kann man die Grundlagen des Datenschutzrechts verstehen und sie letztendlich auch korrekt in die Tat umsetzen.

2.1 Personenbezogene Daten und Betroffene

Der Begriff der „personenbezogenen Daten“ ist für das Datenschutzrecht von zentraler Bedeutung. Nach den Vorgaben der DSGVO ist er sehr weitreichend, nur reine Unternehmensdaten sollen davon nicht erfasst sein, also z. B. Bilanzen, Konstruktionspläne o. Ä. Aber was versteht man nun unter personenbezogenen Daten?

Gemäß Art. 4 Nr. 1 DSGVO versteht man unter personenbezogenen Daten „[...] alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person ([...] „betroffene Person“) beziehen“.

Hier werden also gleich zwei Begriffe definiert, nämlich zusätzlich auch noch der Begriff der „betroffenen Person“. Dabei handelt es sich um die natürliche Person, also um den Menschen, dessen Daten verarbeitet werden.

Als Betroffene gelten nicht nur Kunden, sondern auch Angestellte, Freelancer, Subunternehmer, Dienstleister oder sonstige Vertragspartner.

Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt identifiziert werden kann. Dies kann insbesondere mittels Zuordnung zu einer Kennung erfolgen, die Ausdruck der

  • physischen,
  • physiologischen,
  • genetischen,
  • psychischen,
  • wirtschaftlichen,
  • kulturellen oder
  • sozialen

Identität dieser Person ist. Wichtig hierbei ist die Möglichkeit der Zuordnung zu einer Kennung, wie etwa

  • einem Namen,
  • einer Kennnummer,
  • Standortdaten,
  • einer Onlinekennung oder
  • einem sonstigen besonderen Merkmal.

Unter Onlinekennungen fallen u. a. IP-Adressen, Cookies oder sonstige Kennungen (z. B. Funkfrequenzkennzeichnungen), die durch Endgeräte, Software oder Protokolle entstehen (vgl. Erwägungsgrund 30). Denn durch die Zuordnung solcher Onlinekennungen können Spuren hinterlassen werden, die insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, Profile des Betroffenen zu erstellen und ihn zu identifizieren.

Aber wann ist eine Person identifizierbar? Leider gibt es zu dieser entscheidenden Begrifflichkeit keine einheitliche Meinung, sondern drei verschiedene Auffassungen der Identifizierbarkeit:

  • absolut: wenn irgendwer den Betroffenen identifizieren kann
  • relativ: wenn die verantwortliche Stelle den Betroffenen mit vernünftigerweise bereitstehenden Mitteln identifizieren kann
  • vermittelnd: wenn eine Identifizierung auch durch Dritte möglich ist, aber nicht von jedem und nicht mit allen Mitteln

Die absolute, also die weiteste Ansicht wird insbesondere vom Europäischen Gerichtshof (EuGH) vertreten. Hingegen vertritt der EU-Generalanwalt die vermittelnde Ansicht.

Die DSGVO sagt in Erwägungsgrund 26 Folgendes zu dieser Thematik: „Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die Person direkt oder indirekt zu identifizieren.“

Bei der Feststellung sollen alle objektiven Faktoren herangezogen werden, wie beispielsweise

  • die Kosten der Identifizierung,
  • der erforderliche Zeitaufwand oder auch
  • die verfügbare Technologie.

In Zweifelsfällen sollte daher vom absoluten Begriff oder zumindest von einer weitgehenden, vermittelnden Ansicht ausgegangen werden. Das wird sofort klar, wenn man sich die Worte des EuGH1 vor Augen führt: „[...] dass eine dynamische IP-Adresse, die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf eine Website [...] gespeichert wird, für den Anbieter ein personenbezogenes Datum [...] darstellt, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen.“

Der Anwendungsbereich der DSGVO endet nach Ansicht der EuGH-Richter also erst dort, wo eine solche Zuordnung auch mit größtmöglichem Aufwand nicht möglich ist.

Nachfolgende Datenkategorien sind Beispiele für personenbezogene Daten:

  • Persönliche Daten (Name, Anschrift, Geburtsdatum etc.)
  • Kontaktdaten (Telefonnummer, Faxnummer, E-Mail-Adresse etc.)
  • Finanzdaten (Bankverbindung, Gehaltsabrechnung etc.)
  • Foto (erkennbare Darstellung einer Person)
  • Gesundheitsdaten (Krankmeldung, Diagnose, Überweisung etc.)
  • Kfz-Kennzeichen
  • Statische und dynamische IP-Adressen

In Zweifelsfällen ist sicherheitshalber von einem Personenbezug auszugehen.

2.2 Besondere personenbezogene Daten

Neben „normalen“ personenbezogenen Daten kennt die DSGVO, wie das bisherige Datenschutzrecht auch, noch besondere Datenkategorien mit Personenbezug. Zu diesen sensiblen Daten zählen die folgenden:

  • Rassische und ethnische Herkunft
  • Politische Meinungen
  • Religiöse oder weltanschauliche Überzeugungen
  • Gewerkschaftszugehörigkeit
  • Genetische Daten
  • Biometrische Daten
  • Gesundheitsdaten
  • Daten zum Sexualleben bzw. zur sexuellen Orientierung

Wer als Entwickler Angestellte hat, der verarbeitet auf jeden Fall besondere personenbezogene Daten, nämlich z. B. die Religionszugehörigkeit zwecks Zahlung von Kirchensteuer oder auch Gesundheitsdaten, etwa aus Krankmeldungen oder im Rahmen des betrieblichen Eingliederungsmanagements (BEM).

Fotos können prinzipiell auch als besondere personenbezogene Daten zählen, gemäß Erwägungsgrund 51 jedoch nur, wenn sie von der Definition des Begriffs „biometrische Daten“ erfasst werden. Das wiederum ist dann der Fall, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen. Vorstellbar ist hier etwa die hochauflösende Aufnahme eines menschlichen Auges, anhand der eine Iriserkennung erfolgen kann.

Das Kurzpapier Nr. 6 des LDA Bayern beinhaltet weitergehende Informationen rund um die besonderen Kategorien von personenbezogenen Daten.

2.3 Verantwortliche Stelle

Neben dem Betroffenen und den von ihm erhobenen personenbezogenen Daten gibt es noch eine weitere, sehr wichtige Vokabel: „verantwortliche Stelle“. Dieser Begriff wird in der DSGVO definiert als eine „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.“

Es macht also keinen Unterschied, ob es sich um einen Einzelunternehmer, ein mittelständisches Unternehmen oder einen großen Konzern handelt, generell sind alle Wirtschaftsunternehmen als „verantwortliche Stellen“ anzusehen, wenn sie personenbezogene Daten von Kunden, Mitarbeitern oder Vertragspartnern verarbeiten.

Nach der DSGVO handelt es sich also bei folgenden Institutionen um verantwortliche Stellen:

  • Unternehmen (GbR, oHG, KG, GmbH, AG, Ltd., UG ...)
  • Einzelperson (Kaufmann, Freiberufler ...)
  • Staatliche Einrichtungen (Bundes-, Landes-, Kommunalbehörde ...)
  • Sonstige Institutionen (e. V., e. G., Stiftung ...)
  • Religionsgemeinschaften/Kirchen (z. T. mit eigenen Sonderregeln)

Es wird der freiberufliche Programmierer genauso erfasst wie die Webdesign-GbR oder die „Entwickler GmbH & Co. KG“. Es kommt also nicht auf die Organisations- bzw. Gesellschaftsform an. Lediglich Privatpersonen werden nicht als verantwortliche Stelle im Sinne der DSGVO eingestuft.

Zur speziellen Thematik von mehreren gemeinsamen verantwortlichen Stellen führen die Leitlinie der Artikel-29-Gruppe (wp169) und ein Bitkom-Leitfaden weiterführende Details aus.

2.4 Verarbeitung

Nachdem die Beteiligten, also der Betroffene und die verantwortliche Stelle sowie das „Objekt der Begierde“, die personenbezogenen Daten, definiert sind, soll es nun um die zentrale Tätigkeit gehen, nämlich die Verarbeitung der Daten. Die DSGVO versteht darunter „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten.

Dies zeigt deutlich, dass es sich um einen sehr weitgehenden Begriff handelt. Hiervon wird die Verarbeitung „normaler“ und auch die besonderer Kategorien personenbezogener Daten gleichermaßen erfasst.

Unter den Begriff...

Blick ins Buch

Weitere E-Books zum Thema: Recht - Jura

Trennung und Scheidung

E-Book Trennung und Scheidung
Professioneller Rat von der Familienanwältin - Mit Düsseldorfer Tabelle Format: ePUB/PDF

Objektiver Rat vom ScheidungsprofiIn Deutschland wird zurzeit jede dritte Ehe geschieden. Pro Jahr stehen demnach 170.000 Ehepaare vor dem Scheidungsrichter, 800.000 leben getrennt. Fakten, die die…

Testament, Erbrecht, Schenkung

E-Book Testament, Erbrecht, Schenkung
Was Erblasser und Erben wissen müssen Format: ePUB/PDF

Mit dem neuesten BGH-UrteilWenn es ums Erbe geht, sind Streit und Ärger oft vorprogrammiert. Deshalb ist es so wichtig, den Nachlass rechtzeitig zu regeln, um den Erben Rechtssicherheit zu…

Testament, Erbrecht, Schenkung

E-Book Testament, Erbrecht, Schenkung
Was Erblasser und Erben wissen müssen Format: ePUB/PDF

Mit dem neuesten BGH-UrteilWenn es ums Erbe geht, sind Streit und Ärger oft vorprogrammiert. Deshalb ist es so wichtig, den Nachlass rechtzeitig zu regeln, um den Erben Rechtssicherheit zu…

Führerscheinentzug - sofort richtig handeln

E-Book Führerscheinentzug - sofort richtig handeln
Rechtzeitige Vorbereitung auf die MPU - Medizinisch-psychologische Untersuchung Format: ePUB/PDF

Wer seinen Führerschein verliert - es sind 120000 Betroffene jährlich -, muss sich nach einer Sperrfrist einer Fahreignungsbegutachtung, im Volksmund 'Idiotentest' genannt, unterziehen. Ulli Rädler…

Weitere Zeitschriften

FREIE WERKSTATT

FREIE WERKSTATT

Die Fachzeitschrift FREIE WERKSTATT berichtet seit der ersten Ausgaben 1994 über die Entwicklungen des Independent Aftermarkets (IAM). Hauptzielgruppe sind Inhaberinnen und Inhaber, Kfz-Meisterinnen ...

Card-Forum

Card-Forum

Card-Forum ist das marktführende Magazin im Themenbereich der kartengestützten Systeme für Zahlung und Identifikation, Telekommunikation und Kundenbindung sowie der damit verwandten und ...

küche + raum

küche + raum

Internationale Fachzeitschrift für Küchenforschung und Küchenplanung. Mit Fachinformationen für Küchenfachhändler, -spezialisten und -planer in Küchenstudios, Möbelfachgeschäften und den ...

DER PRAKTIKER

DER PRAKTIKER

Technische Fachzeitschrift aus der Praxis für die Praxis in allen Bereichen des Handwerks und der Industrie. “der praktiker“ ist die Fachzeitschrift für alle Bereiche der fügetechnischen ...

Der Steuerzahler

Der Steuerzahler

Der Steuerzahler ist das monatliche Wirtschafts- und Mitgliedermagazin des Bundes der Steuerzahler und erreicht mit fast 230.000 Abonnenten einen weitesten Leserkreis von 1 ...

ea evangelische aspekte

ea evangelische aspekte

evangelische Beiträge zum Leben in Kirche und Gesellschaft Die Evangelische Akademikerschaft in Deutschland ist Herausgeberin der Zeitschrift evangelische aspekte Sie erscheint viermal im Jahr. In ...