Das Bundesverfassungsgericht nimmt die Verfassungsbeschwerde gegen die Vorratsdatenspeicherung an

Das Bundesverfassungsgericht nimmt die Verfassungsbeschwerde gegen die Vorratsdatenspeicherung an

Das Bundesverfassungsgericht hat die Verfassungsbeschwerde (Az. 1 BvR 2683/16) angenommen, die u.a. insbesondere auch von dem „Arbeitskreis gegen Vorratsdatenspeicherung“ gegen das deutsche Gesetz zur anlasslosen Vorratsdatenspeicherung erhoben worden war. Hierzu wurden bereits bei der Einlegung der Beschwerde dem Gericht mehr als 29 000 Unterschriften überreicht.

Seit dem 01.07.2017 sind die Kommunikationsanbieter dazu verpflichtet, von all ihren Kunden die Standortdaten, Zeitpunkt und Dauer von Telefongesprächen, IP-Adressen und SMS-Daten auf Vorrat zu speichern. Allerdings hatte die Bundesnetzagentur nach einem Urteil des Oberverwaltungsgerichts NRW nur wenige Tage vor dem Tag des Inkrafttretens die Vorratsdatenspeicherung eigentlich faktisch bereits schon ausgesetzt und erklärt, dass Anbieter keine Strafen bekommen, wenn sie Daten entgegen der gesetzlichen Vorgaben doch nicht speichern würden. Es bleibt daher abzuwarten, wie die Praxis darauf reagieren und das höchste deutsche Gericht hier abschließend entscheiden wird.

Verbot mit Erlaubnisvorbehalt

Verbot mit Erlaubnisvorbehalt

Im Datenschutzrecht gilt ein sehr besonderes und im gesamten deutschen Recht selten anzutreffendes Prinzip des „Verbots mit Erlaubnisvorbehalts“. Grundsätzlich ist es eigentlich immer so, dass man alles machen kann, solange es nicht verboten ist. Im Datenschutzrecht ist es jedoch genau anders herum: Man darf nichts, es sei denn, es ist erlaubt.

Und um die Anforderungen noch höher anzusiedeln, muss im Datenschutzrecht nun auch noch die Rechenschaftspflicht berücksichtig werden, das heißt, die Verantwortlichen müssen nicht nur die gesetzlichen Vorgaben vollumfänglich einhalten, sondern diese Einhaltung auch jederzeit auf Nachfrage nachweisen können.

Dies hat für die Unternehmen erhebliche Auswirkungen auf deren Umgang mit personenbezogenen Daten im internen und externen unternehmerischen Handeln. Das Prinzip gibt vor, dass niemand mit personenbezogenen Daten anderer umgehend darf, d.h. diese erheben, speichern oderweitergeben darf, wenn er nicht z.B. über eine konkrete Einwilligung verfügt, eine gesetzliche Grundlage ihn dazu ermächtigt und/oder verpflichtet, er die Daten aufgrund eines Vertrags mit dem Betroffen erhalten hat (inkl. vorvertraglichen Handlungen) oder er sie zur Wahrung berechtigter Interessen benötigt. Dies sind die 4 wichtigsten Rechtfertigungsmöglichkeiten, die das Gesetz normiert. Bereits hier ist jedoch größte Vorsicht geboten, denn, wie schon angedeutet, sind hierzu nicht nur alle gesetzlichen Vorgaben jeweils vollumfänglich einzuhalten, sondern deren Einhaltung muss auch praktisch jederzeit durch die Unternehmen z.B. gegenüber den Aufsichtsbehörden tatsächlich auch nachgewiesen werden können.

Des Weiteren ist bei den Gründen aus der Einwilligung, eines Vertrags (oder bei der Erfüllung vorvertraglicher Pflichten) oder auch bei einer Interessenabwägung immer zuerst vorher ein konkreter Zweck der jeweiligen Datenerhebungen und -verarbeitungen genau festzulegen. In der weiteren Folge dürfen die personenbezogenen Daten dann auch ausschließlich für diese jeweilige konkrete Zweck verwendet werden.

Allein schon die legitime Festlegung eines solchen Zweckes für praktisch jedes personenbezogene Datum. stellt in der Praxis, insbesondere auch bei größeren und umfangreichen Datensammlungen und umfangreichen Prozessen und Verfahren in den Unternehmen, eine enorme Hürde dar.

Welche Aufgaben hat ein Datenschutzbeauftragter?

Welche Aufgaben hat ein Datenschutzbeauftragter?

Unabhängig davon, ob ein interner oder ein externer Datenschutzbeauftragter bestellt wurde, hat ein solcher umfangreiche Aufgaben zur Kontrolle und als Unterstützung der Geschäftsleitungen (oder auch Vereinsvorständen)

Art. 39 Abs. 1 DS-GVO normiert im Wesentlichen folgende Aufgaben für einen Datenschutzbeauftragten:

Unterrichtung und Beratung der jeweiligen Verantwortlichen und der Beschäftigen hinsichtlich aller ihrer Pflichten aus dem Datenschutzrecht

Die kontinuierliche Überwachung der Einhaltung aller gesetzlichen Vorschriften des Datenschutzrechts

Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung

Die Zusammenarbeit mit der Aufsichtsbehörde

Die Anlaufstelle für die Aufsichtsbehörde in allen Fragen, die mit der Verarbeitung der personenbezogenen Daten in Zusammenhang stehen

Beratung betroffener Personen gemäß Art. 38 Abs. 4 DS-GVO

Die Rechenschaftspflicht

Die Rechenschaftspflicht

In der neuen DS-GVO wurde mit der Vorgabe der sog. Rechenschaftspflicht eine gigantische Aufgabe für die Unternehmen (und Vereine) gesetzlich normiert.

Die Verantwortlichen müssen nicht nur alle gesetzlichen Vorgaben des Datenschutzes einhalten, sondern nun auch alle hierfür durchgeführten Handlungen jederzeit nachweisen können, insbesondere auch gegenüber den Aufsichtsbehörden. Im Zweifel muss der Verantwortliche also durch die Vorlage einer entsprechenden schriftlichen Dokumentation nachweisen können, welche personenbezogenen Daten er von seinen Kundinnen und Kunden (oder Mitgliedern), seinen gesamten Mitarbeiterinnen und Mitarbeiter, Lieferanten usw. verarbeitet UND aufgrund welcher Rechtsgrundlage er meint, dies tun zu dürfen (siehe auch: Verbot mit Erlaubnisvorbehalt) und für welchen konkreten Zweck. Zudem muss er dann auch jeweils nachweisen können, wie lange er die Daten speichern möchte und wann und wie er diese einer Löschung und einer Vernichtung zuführt.

Hierbei gilt dann, dass diese Verpflichtung auch die Personen betrifft, die dem eigentlich Verantwortlichen unterstellt sind und die Daten ausschließlich auf seine Weisung verarbeiten. (Art. 29 DS-GVO)

Zudem resultiert u.a. auch hieraus die Verpflichtung des Verantwortlichen alle seine Mitarbeiterinnen und Mitarbeiter ebenfalls in gleichem Umfang auf die ihm obliegenden gesetzlichen Anforderungen zu verpflichten und auch hierüber eine entsprechende lückenlose Kette der Nachweisbarkeit zu führen.

Ein erster richtiger Schritt, gerade auch für kleinere Unternehmen, um hier sicher zu gehen, ist das Erstellen und das Führen eines eigenen Verarbeitungsverzeichnisses, am besten noch ergänzt u.a. um die konkreten Verarbeitungstätigkeiten, die jeweils herangezogenen Rechtsgrundlagen und alle konkreten Zwecke. Wie immer gilt auch hier: Schriftlich oder elektronisch.

Müssen die Kontaktdaten des eigenen Datenschutzbeauftragten veröffentlicht werden?

Müssen die Kontaktdaten des eigenen Datenschutzbeauftragten veröffentlicht werden?

Das Gesetz schreibt vor, dass der Verantwortliche die Kontaktdaten des eigenen (internen oder externen) Datenschutzbeauftragten veröffentlichen muss. Dies soll z.B. den Behörden, aber auch den Betroffenen selbst die Möglichkeit eröffnen, sich direkt an diesen wenden zu können.

Es erscheint hierbei sinnvoll, dass die Kontaktdaten dazu auch im Internet auf den Webseiten des Verantwortlichen veröffentlicht werden, wobei es aber nicht erforderlich ist, dass der Name oder die persönliche Anschrift aufgeführt werden. Es genügt wohl z.B. die Angabe einer funktionalen E-Mailadresse wie z.B. datenschutzbeauftragter@xy-GmbH/oder Verein.de

Wichtig ist dabei aber, dass die eingehenden Mails auch tatsächlich regelmäßig abgerufen und dann auch vom jeweiligen Datenschutzbeauftragten gelesen und auch bearbeitet werden.

Was sind personenbezogene Daten?

Was sind personenbezogene Daten?

„Personenbezogen Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbare wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einen Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann (Art. 4 Nr. 1 DS-GVO)“

Hierzu zählen u.a. der Name, Wohnort, Geburtsdatum, Steuernummer oder die Religionszugehörigkeit eines Menschen. Unternehmen sind selbst keine natürlichen Personen, aber bestehen aus solchen, so dass dann spätestens auf dieser Datenebene dann u.U. wieder datenschutzrechtlich relevante personenbezogene Daten anfallen.

Wichtig: Auch jede Mitarbeiterin und jeder Mitarbeiter eines Unternehmens und auch jedes Mitglied eines Vereins zählen unmittelbar dazu. Auch hier greifen alle Vorgaben, Anforderungen und Sanktionsmöglichkeiten des Datenschutzrechts.

Automatisierte Verarbeitung

Automatisierte Verarbeitung

Die Datenschutzgrundverordnung gilt für alle ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Neben dem klassischen Anwendungsfall der elektronischen Datenverarbeitung mittels EDV Systemen können also auch nach bestimmten Kriterien geordnete „analoge“ Karteisysteme darunterfallen.

ACHTUNG: Solche Karteisysteme können also auch aus Papier sein! Daher insbesondere Vorsicht bei den auch heute noch häufig in Unternehmen und Vereinen anzutreffende Mitarbeiter- (Mitglieder-) oder Kundenakten in ausgedruckter Form, da auch hier extra der sachliche Anwendungsbereich der DS-GVO eröffnet worden ist.

Konfliktlösungen für Datenschutzbeauftragte

Der Datenschutzbeauftragte (DSB) eine Unternehmens, gleich ob interner oder externe, untersteht zunächst einmal unmittelbar der Geschäftsleitung und muss diese nicht selten kritisieren und ggf. sogar vor geplanten unternehmerischer Handlungen aus datenschutzrechtlicher Sicht warnen. Der DSB steht daher in einem besonderen und hohen Spannungs- und potenziellen Konfliktverhältnis. Es ist in diesem von vielen Besonderheiten geprägten gegenseitigen Abhängigkeitsverhältnis daher von größter Bedeutung, dass Unstimmigkeiten, Probleme und drohende Konflikte möglichst früh erkannt und dann auch aktiv gelöst werden.

Werden die nicht selten dann sogar auch auf persönlicher Ebene ausgetragenen Differenzen nicht wirklich gelöst, drohen in Bezug auf eine sinnvolle Arbeit des DSB erhebliche Nachteile und daraus zudem erhebliche wirtschaftliche Risiken für das Unternehmen. Zudem können Datenschutzverstöße neben den unmittelbaren finanziellen Folgen auch nur sehr schwer wieder zu kompensierende Imageverluste erzeugen. Wird hier zu lange gewartet, sind viele Folgen nicht mehr zu vermeiden und bei den durch die neue DSGVO eingeführten exorbitanten Bußgeldern kann dies für Unternehmen u.U. schnell existenziell werden.

Durch eine möglichst frühzeitige aktive Konfliktlösungen mit allen an den Prozessen und Verfahren beteiligten Personen, immer unter besonderer Berücksichtigung der technischen und juristischen Hintergründe, kann so nicht nur die Arbeit der Personen zum Vorteil des Unternehmens wieder fortgesetzt, sondern in vielen Fällen auch hohe wirtschaftliche Risiken vermieden werden.

Wer ist Verantwortlicher und wer ist Betroffener?

Wer ist Verantwortlicher und wer ist Betroffener?

Die DSGVO spricht immer von der betroffenen Person und dem Verantwortlichen, so dass es erforderlich ist, diese zu definieren:

Betroffene Person ist jede natürliche Person, die durch personenbezogene Daten identifiziert werden kann oder identifizierbar wird.

Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität diese natürlichen Person sind, identifiziert werden können.

Verantwortlicher ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Konflikte im Datenschutz in den Unternehmen nehmen zu

Wie in vielen Bereichen, ist es auch beim Datenschutz so, dass dieser zum einen im Innenverhältnis, also im Verhältnis zu den eigenen Mitarbeiterinnen und Mitarbeitern, als auch im Außenverhältnis, also immer dann, wenn Beschäftigte selbst Datenschutzverstöße im Rahmen ihrer Leistungserbringung realisieren, zu schlimmen Konflikten unter den Mitarbeitern selbst und zu solchen zwischen den Führungskräften und ihren jeweiligen Mitarbeitern führen kann.

Eskalieren können solche zunächst vielleicht nur internen Differenzen dann, wenn zum Beispiel von außen die jeweiligen Datenschutzverstöße gerügt und entsprechende Überprüfungen durchgeführt werden oder es sogar zu Abmahnungen kommt.

Spätestens dann stellt sich die Verantwortlichkeit einer jeden einzelnen Person. Zu fragen ist hier, wann sie von welchem Datenschutzverstoß Kenntnis hatte, beziehungsweise ob sie diesen ggf. sogar bewusst realisiert hat.

Die rechtliche Bewertung solcher Verfahren ist umfangreich und sehr zeit- und kostenintensiv. Aber auch hier entstehen viele große Probleme jedoch aus zunächst noch kleineren Unstimmigkeiten und müssen daher möglichst früh kommuniziert werden.

Nicht zuletzt auch auf Grund des mit einem Mediationsverfahren verbundenen offenen Kommunikationsaustauschs der Parteien in einem frühen Stadium, werden vielfach Risiken für die Zukunft endgültig vermieden. Ein offener Umgang, verbunden mit der Kommunikation aller Interessen und Bedürfnisse der beteiligten Menschen und Abteilungen im Unternehmen, führen dazu, dass die Risiken einer sich nach außen ausbreitenden Datenschutzverletzung erheblich reduziert werden können. Nicht zuletzt auch wegen der aus einer Datenschutzverletzung resultierenden erheblichen unmittelbaren wirtschaftlichen Risiken, sollte insbesondere auch der drohende mittelbare Imageverlust in der Öffentlichkeit bedacht werden. Führt der Umgang mit Daten intern und/ oder extern zu Unstimmigkeiten und Problemen sollten diese frühzeitig durch ein Mediationsverfahren gelöst und zukünftige neue Probleme durch eine abgestimmte Vorgehensweise und Vermeidungsstrategien vermieden werden.

Insbesondere der Datenschutzbeauftragte eines Unternehmens gerät aktuell immer häufiger in Konflikte mit der Geschäftsführung, da er dieser zwar unterstellt, sie aber dennoch häufig wegen drohender Datenschutzverstöße kritisieren muss. Die Aufgaben des Datenschutzbeauftragten kollidieren leider in sehr vielen Fällen mit seiner eigenen wirtschaftlichen Abhängigkeit als Angestellter des jeweiligen Unternehmens. Die Praxis zeigt, dass zwischen sehr vielen Datenschutzbeauftragten, gleich ob intern oder extern, und den Unternehmensleitungen eine Vielzahl von Konflikten und offenen Auseinandersetzungen drohen können.

Sind Datenschutzbeauftragter und Geschäftsführer selbst nicht mehr in der Lage diese Streitigkeiten beizulegen, sollten sie dringend und schnellst möglichst externe Hilfe in Anspruch nehmen. Geschieht dies nicht, können selbst eigentlich kleinere Konflikte zu einem späteren Zeitpunkt zu einem großen offenen Konflikt eskalieren.

Der Druck auf IT-Abteilungen und Dienstleister steigen immer mehr an

Die Daten- und IT- Sicherheit in Unternehmen ist für diese von größter Bedeutung. Die verantwortlichen Führungskräfte sind immer häufiger auch persönlich gefordert. Zudem sind es aber auch die Mitarbeiter der jeweiligen IT- Abteilungen, die unter Druck geraten und dadurch auch in offenen Konflikten zu den sie beauftragenden Abteilungen, Abteilungsleitern oder Geschäftsführern geraten.

Ist Datensicherheit für jedes Unternehmen eigentlich selbstverständlich und von geradezu existenzieller Bedeutung, wird es in der Praxis immer dann besonders kritisch, wenn die Unternehmensleitungen Änderungen vornehmen wollen, die dann zu erhöhten Risiken im Bereich der IT- oder Datensicherheit führen könnten. Der IT- Dienstleister, gleich ob externer oder interner, gerät so schnell in einen Gewissenskonflikt, der nicht zuletzt aufgrund der wirtschaftlichen Abhängigkeit zu seinem Auftraggeber oder Arbeitgeber unlösbar erscheint. Werden solche Unstimmigkeiten nicht bereits früh offen kommuniziert, resultieren daraus in der Praxis schnell erhebliche Auseinandersetzungen.

In vielen Unternehmen treten auch im Bereich Datensicherheit immer häufiger Konflikte zwischen den Unternehmensführungen und den internen oder externen Datenschutzbeauftragten auf. Auch hier sollten frühzeitig beginnende oder sich bereits verstärkende Konflikte im Rahmen einer Mediation und einem sich daraus resultierenden zukünftigen Konfliktmanagements einer praxisnahen Lösung zugeführt werden.