Die EU-DSGVO
ist am 25. Mai 2018 in Kraft getreten
Kontaktieren Sie uns für genauere Infos!
Ab Mai 2018 gilt die EU-Datenschutz-Grundverordnung (DSGVO), eine Verordnung der EU zum Schutz personenbezogener Daten. Die EU-Datenschutz-Grundverordnung beinhaltet neue Regeln für Unternehmen, Behörden, gemeinnützige und andere Organisationen, die Waren und Dienstleistungen für Menschen in der EU anbieten oder Daten im Zusammenhang mit EU-Bürgern erfassen und analysieren. Die EU-Datenschutz-Grundverordnung gilt unabhängig von Ihrem Standort.
Wir möchten Sie dabei unterstützen, sich auf Ihr Kerngeschäft zu konzentrieren und sich gleichzeitig effizient auf die EU-Datenschutz-Grundverordnung vorzubereiten.
Sachlicher Anwendungsbereich:
Zunächst stellt sich immer die Frage, bin ich von der Datenschutz-Grundverordnung betroffen? Hierzu findet sich in der Verordnung die folgende Aussage:
„Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.“
Verarbeitung:
„(…) jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.“
Dies sagt aus, dass jeder Betrieb, der Daten seiner Kunden und Mitarbeiter erfasst, davon betroffen ist.
Beschäftigtendatenschutz:
Schon seit Jahren ist der Arbeitnehmerdatenschutz immer wieder im Gespräch der Öffentlichkeit. Zwischen 2010 und 2013 wurde mehrfach über dieses Thema in der Bundesregierung getagt und Gesetzesentwürf präsentiert. Die Reform des Arbeitnehmerdatenschutzes wurde aufgrund der geplanten EU-DSGVO und einer Erweiterung des BDSG vorerst ausgesetzt. Im Jahre 2014 wurde das Thema erneut im Koalitionsvertrag der Großen Koalition aufgegriffen, welcher vereinbarte, den Beschäftigtendatenschutz gesetzlich zu regeln. Das Thema Arbeitnehmerdatenschutzgesetz ist mit der kommenden Verabschiedung der Verordnung wieder aktuell. Doch welche Auswirkungen wird diese auf die Zukunft des deutschen Beschäftigtendatenschutzes haben?
Ist der Arbeitnehmerdatenschutz in der EU-DSGVO geregelt?:
Nein
Bedeutet das, es gibt keinen Beschäftigtendatenschutz?
Nein, auch nach der EU-DSGVO werden Beschäftigte innerhalb ihrer Arbeitsverhältnisse nicht rechtlos sein. Es verweisen einzelne Vorschriften der EU-DSGVO (z.B.: Art. 9 Abs. 2 h DSGVO Verarbeitung von besonderen Kategorien von personenbezogen Daten) auf den Mitarbeiterdatenschutz und auch die allgemeine Grundätze der Datenverarbeitung (Art. 5 DSGVO) gelten selbstverständlich auch im Beschäftigtenverhältnis. Allerdings wird es keine zentrale Regelungsvorschrift zu diesem Thema in der EU-DSGVO geben.
Pflichten für Unternehmen:
Die Datenschutz-Grundverordnung statuiert neben altbekannten Pflichten auch neue Anforderungen für Unternehmen im Bereich Datenschutz. Eine positive Neuerung ist z.B. die Pflicht zu verbraucher- und datenschutzfreundlichen Voreinstellungen bei elektronischen Geräten. Allerdings könnten andere Pflichten wiederum zu einem deutlichen Mehraufwand seitens der Unternehmen führen. Beispielsweise könnte die vorgesehene Pflicht zur Datenschutz-Folgenabschätzung sowie die sich daran evtl. anschließende Konsultation der zuständigen Aufsichtsbehörde zu einem vermehrten Maß an Bürokratie führen. Ob diese dann wirklich noch positive Auswirkungen für Verbraucher und Unternehmen hat, ist derzeit aber kaum abzusehen.
Was versteht man unter den für die Verarbeitung Verantwortlichen nach Art. 24 EU-DSGVO?
Darunter fällt jede natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, Art. 4 Nr. 7 EU-DSGVO.
Wozu werden Unternehmen nach Art. 24 EU-DSGVO verpflichtet?
Unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die persönlichen Rechte und Freiheiten haben die für die Verarbeitung verantwortlichen Unternehmen geeignete technische und organisatorische Maßnahmen zu installieren.
Was bedeuten die Vorgaben des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen nach Art. 25 EU-DSGVO?
Der für die Verarbeitung Verantwortliche sollte interne Strategien festlegen und Maßnahmen treffen, die insbesondere dem Grundsatz des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) sicherstellen. Solche Maßnahmen könnten unter anderem darin bestehen, dass die Verarbeitung personenbezogener Daten minimiert wird, personenbezogene Daten so schnell wie möglich pseudonymisiert werden, Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten hergestellt wird, der betroffenen Person ermöglicht wird, die Datenverarbeitung zu überwachen, und der für die Verarbeitung Verantwortliche in die Lage versetzt wird, Sicherheitsfunktionen zu schaffen und zu verbessern, vgl. Erwägungsgrund 61 EU-DSGVO.
Was sollte das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 EU-DSGVO beinhalten?
- Namen und die Kontaktdaten des für die Verarbeitung Verantwortlichen (ggf. auch Vertreter und Datenschutzbeauftragter)
- Zwecke der Verarbeitung
- Kategorien von betroffenen Personen und personenbezogenen Daten
- Kategorien von Empfängern, an die die personenbezogenen Daten weitergegeben worden sind oder noch weitergegeben werden (auch in Drittländern)
- Übermittlungen von Daten an ein Drittland oder an eine internationale Organisation
- Wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
- Wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen
Meldepflich:
Müssen Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde gemeldet werden?
Grundsätzlich ja.
Gilt die Meldepflicht ausnahmslos immer?
Nein. Es entsteht keine Meldepflicht, wenn ein Risiko für Rechte und Freiheiten von Individuen unwahrscheinlich ist.
Gibt es eine Frist für die Meldepflicht?
Ja, nach Art. 33 EU-DSGVO unverzüglich und ohne unangemessene Verzögerung. Möglichst binnen höchstens 72 Stunden, nachdem die Verletzung bekannt wurde.
Muss auch der Betroffene der Datenschutzverletzung benachrichtigt werden?
Nach Art. 34 EU-DSGVO grundsätzlich ja.
Datenschutz-Folgenabschätzung:
Wann muss ein Unternehmen eine Datenschutz-Folgenabschätzung nach Art. 35 EU-DSGVO vornehmen?
Dann, wenn eine Form der Verarbeitung wahrscheinlich ein hohes Risiko verursacht, insbesondere bei neuen Technologien oder aufgrund ihres Wesens, ihres Umfangs, ihres Kontexts oder ihrer Zwecke.
Was sind Beispiele für derartige neue Technologien?
- Systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen aufgrund automatisierter Verarbeitung
- Umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten oder von Daten über strafrechtliche Verurteilungen und Straftaten
- Systematische weiträumige Überwachung öffentlich zugänglicher Bereiche
Wann muss die Aufsichtsbehörde konsultiert werden?
Nach Art. 36 EU-DSGVO dann, wenn die Datenschutz-Folgeabschätzung nach Art. 35 EU-DSGVO ergibt, dass eine Datenverarbeitung ohne Maßnahmen ein hohes Risiko bedeutet.
Sind die Aufsichtsbehörden auch schon vorab in die Datenschutz-Folgenabschätzung eingebunden?
Ja, sie werden vorab Positiv-/Negativ-Listen zu umfassten Technologien veröffentlichen.
Müssen auch die Betroffenen an der Datenschutz-Folgenabschätzung beteiligt werden?
Ja und zwar dann, wenn es als angemessen erscheint.
Was passiert, wenn die Aufsichtsbehörde der Auffassung ist, die Maßnahme verstoße gegen die EU-DSGVO?
Es erfolgt ein schriftlicher Rat der Aufsichtsbehörde mit einer Frist von acht Wochen.
Neues zur Videoüberwachung:
Mit der Anwendbarkeit der EU-DSGVO zum 25. Mai 2018 ändert sich auch die Zulässigkeit einer Videoüberwachung. Eine explizite Regelung zur Zulässigkeit von Videoüberwachung ist dort nicht enthalten. Lediglich in dem Artikel zur Notwendigkeit einer sog. „Datenschutz-Folgenabschätzung“ wird das Thema Videoüberwachung erwähnt. Dies impliziert eine deutliche Veränderung zur bisherigen Rechtslage in Deutschland.
Unterscheidet die EU-DSGVO zwischen verschiedenen Arten der Videoüberwachung?
Was genau unter den Voraussetzungen „systematisch“ und „weiträumig“ zu verstehen ist, geht aus der EU-Datenschutz-Grundverordnung nicht hervor. Jedenfalls lassen die Begriffe einen erheblichen Interpretationsspielraum zu. Da mittlerweile praktisch jede Überwachung unter Einsatz automatisierter Verfahren vorgenommen wird, kann es aus Sicht des eingesetzten Verfahrens wohl keine „unsystematische“ Überwachung geben. Wegen der Verwendung dieses konkreten Begriffs, geht der europäische Gesetzgeber offensichtlich gleichwohl davon aus, dass nicht jede automatisierte Überwachung „systematisch“ ist. Was hierunter jedoch genau zu verstehen ist, bleibt offen. Gleiches gilt für den Begriff „weiträumig“. Soll hier z.B. von der Größe der überwachten Fläche ausgegangen werden? Und falls ja: Wie groß muss diese Fläche sein?
Auch der Umkehrschluss ist interessant: Da die EU-DSGVO nur unter den vorbezeichneten Voraussetzungen eine Datenschutz-Folgenabschätzung für erforderlich hält, geht der europäische Gesetzgeber offenbar davon aus, dass nicht jede Videoüberwachung einen erheblichen Eingriff in die Rechte der Betroffenen darstellt. Dieser Wertung kann entnommen werden, dass die EU-Datenschutz-Grundverordnung bestimmte Formen der Videoüberwachung für nicht besonders risikobehaftet erachtet und diese Formen künftig leichter möglich sein werden.
Verdeckte oder offene Beobachtung – Hinweis auf Videoüberwachung?
Eine Videoüberwachung stellt einen erheblichen Eingriff in die Persönlichkeitsrechte der Betroffenen dar. Als besonders intensiv wird der Eingriff erachtet, wenn eine diese verdeckt; also ohne Wissen des Betroffenen stattfinden könnte. Falls eine verdeckte und damit heimliche Überwachung möglich wäre, könnte sich faktisch niemand mehr sicher sein, ob er nicht gerade überwacht wird. Aus diesem Grund ist nach der derzeitigen Rechtslage die verdeckte Videoüberwachung von öffentlichen Räumen untersagt und § 6b Abs. 2 BDSG verlangt, dass über die Überwachung informiert und auf einem Hinweisschild auch die verantwortliche Stelle genannt wird.
In der EU-DSGVO fehlt eine derartige eindeutige Regelung. Es ist daher nach unserer Auffassung nicht ausgeschlossen, dass das Verbot der verdeckten Überwachung von öffentlichen Räumen daher – jedenfalls in gewissen Konstellationen – entfällt und eine verdeckte Überwachung auch öffentlicher Räume mit der Anwendbarkeit der EU-Datenschutz-Grundverordnung daher möglich wird.
Regelungen zur Videoüberwachung von Mitarbeitern?
Die Frage nach der Zulässigkeit von Videoüberwachung von Mitarbeitern / Arbeitnehmern ist eine der in der Praxis wichtigsten Fragen. Derzeit ist die Rechtslage zusammengefasst so:
- Am Arbeitsplatz ist – unter den Voraussetzungen des § 6b BDSG – eine offene Videoüberwachung möglich.
- In engen Ausnahmefällen ist auch eine verdeckte Videoüberwachung gestattet. Allerdings nur, wenn ein konkreter Verdacht einer strafbaren Handlung oder einer anderen schweren Verfehlung zu Lasten des Arbeitgebers vorliegen, weniger einschneidende Mittel müssen ausgeschöpft sind, die Videoüberwachung als einziges Mittel verbleibt und sie insgesamt nicht unverhältnismäßig ist.
- Sozialräume dürfen grundsätzlich nicht überwacht werden.
Aufgrund der hohen Praxisrelevanz wäre zu wünschen gewesen, dass die EU-DSGVO konkreten Regelungen zur Zulässigkeit einer Videoüberwachung von Mitarbeitern aufweist. In einer Entwurfsversion zu EU-DSGVO waren solche konkreten Regelungen noch vorgesehen. Dort sollte in Artikel 82 EU-DSGVO ausdrücklich das Verbot zur Überwachung von Sozialräumen geregelt werden. Zudem war ein generelles Verbot einer verdeckten Videoüberwachung vorgesehen. In der nun verabschiedeten Fassung der EU-Datenschutz-Grundverordnung sind allerdings leider Regelungen zur Zulässigkeit einer Videoüberwachung von Arbeitnehmern nicht zu finden.
Das Fehlen von konkreten Regelungen ist deshalb so bedauerlich, weil die Frage nach einer solchen Zulässigkeit für den Bereich des Arbeitnehmerdatenschutz in der Praxis eine hohe Relevanz hat. Da im Spannungsfeld „Videoüberwachung von Mitarbeitern“ sich anerkennenswerte Interessen von Arbeitgebern und Mitarbeitern oft nahezu gleichrangig gegenüberstehen, wäre es hilfreich gewesen, hier klare gesetzliche Vorgaben zu schaffen.
Dies ist nur ein kleiner Ausschnitt aus der EU-DSGVO.
Seit dem 20.11.2017 können wir Sie in vollem Umfang der VdS 3473 und DSGVO als Berater bei der Umsetzung unterstützen.
Details zu unserer Zertifizierung:
VdS 3473
Informationssicherheit ist der Brandschutz des 21. Jahrhunderts!
Die Nutzung moderner IT zur Bewältigung von betriebswirtschaftlichen, logistischen und technischen Geschäftsprozessen sowie der Anschluss an das Internet sind heute unabdingbare Erfordernisse, um im weltweiten Wettbewerb bestehen zu können. Digitalisierung und Vernetzung bergen jedoch auch neue Gefahren, die Unternehmen in ihrem Risikomanagement berücksichtigen müssen.
Informationssicherheit sollte somit in Unternehmen den gleichen Stellenwert besitzen wie der Brandschutz. In beiden Fällen werden reale Werte gegen reale Bedrohungen geschützt und in beiden Fällen kann die Schadenhöhe ruinös sein. Für die Abwehr der „klassischen“ Gefahren stehen etablierte Schutz-Standards, insbesondere die VdS-Richtlinien, zur Verfügung. Auf dem Gebiet der Cyber-Sicherheit mangelte es aber bisher an einem für kleine und mittlere Unternehmen (KMU) handhabbaren und angemessenen Standard.
Mit den o.g. VdS-Richtlinien (VdS 3473) steht den KMUs erstmals eine umsetzbare Richtlinie zur Verfügung, wie man sich angemessen vor Cyber-Gefahren schützen und dies durch ein Zertifikat einer unabhängigen Institution belegen kann. Der Lehrgang erläutert die Inhalte der VdS-Richtlinien 3473 und gibt allen Teilnehmenden eine konkrete Vorgehensweise an die Hand, wie sie Informationssicherheit effektiv implementieren, überprüfen und auditieren können. Im Fokus stehen die Grundsätze, Strukturen und Prozesse.
Basiswissen zur VdS 3473
- Informationssicherheit für KMU: Ziele, Spannungsfelder, Notwendigkeiten
- Überblick: Aufbau, Struktur und Grundgedanken der VdS-Richtlinien 3473
Organisation der Informationssicherheit gemäß VdS 3473
- Anforderungen an Verantwortlichkeiten, Strukturen und Verfahren
- Benötigte Vorgaben des Topmanagements
- Umsetzung und Überwachung/Auditierung in der Praxis
Basisschutz gemäß VdS 3473
- Anforderungen an IT-Systeme, Netzwerke und Mobile Datenträger
- Geforderte Verfahren
- Umsetzung und Überwachung/Auditierung in der Praxis
Zentrale Werte schützen mit der VdS 3473
- Kritische Prozesse und IT-Ressourcen finden
- Risiken der Informationsverarbeitung finden, analysieren und behandeln
- Umsetzung und Überwachung/Auditierung in der Praxis
Vorbereitung auf Ausfälle und Sicherheitsvorfälle gem. VdS 3473
- Anforderungen an Datensicherung und Vorbereitung auf Wiederherstellung
- Geforderte Verfahren
- Umsetzung und Überwachung/Auditierung in der Praxis
Abgrenzung der VdS 3473 zu bestehenden Normen
- Vor- und Nachteile der VdS 3473
- Vergleich mit ISO 27001 und BSI Grundschutz
Wenn Sie eine evaluation Ihrer aktuellen Lage, die Anpassung Ihrer Strategien an das neue Gesetz oder auch einfach Fragen haben, stehen wir Ihnen gern zur Verfügung.