Wichtige gesetzliche Voraussetzungen von DS-GVO und BDSG
Datenschutz ist in der heutigen digitalen Welt von zentraler Bedeutung. Unternehmen und Organisationen sind rechtlich dazu verpflichtet, Maßnahmen zu ergreifen, um die personenbezogenen Daten, die sie verarbeiten, zu schützen.
In Europa bildet die Datenschutzgrundverordnung (DS-GVO) den rechtlichen Rahmen, der durch das Bundesdatenschutzgesetz (BDSG) in Deutschland ergänzt wird.
BLOG-TIPP: DER RICHTIGE UMGANG MIT DATENMÜLL IM DATENSCHUTZ FÜR UNTERNEHMEN
Was ist die DS-GVO?
Die Datenschutzgrundverordnung (DS-GVO) ist ein umfassendes Regelwerk zum Schutz personenbezogener Daten innerhalb der Europäischen Union. Sie trat am 25. Mai 2018 in Kraft und harmonisiert die Datenschutzvorschriften in allen EU-Mitgliedsstaaten. Dabei stärkt sie die Rechte der Betroffenen und legt gleichzeitig Pflichten für datenverarbeitende Stellen, also Unternehmen und Organisationen, fest.
Was ist das BDSG?
Das Bundesdatenschutzgesetz (BDSG) ergänzt die DS-GVO auf nationaler Ebene in Deutschland. Es regelt spezifische nationale Besonderheiten und präzisiert die allgemeinen Vorgaben der DS-GVO. Das BDSG beinhaltet beispielsweise zusätzliche Bestimmungen zur Datenverarbeitung im Beschäftigungskontext und spezifische Regelungen für den Bereich der Videoüberwachung.
Was sind personenbezogene Daten?
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Das bedeutet, jede Information, die es ermöglicht, eine Person direkt oder indirekt zu identifizieren, fällt unter den Begriff der personenbezogenen Daten. Beispiele hierfür sind Name, Adresse, E-Mail-Adresse, Telefonnummer, Geburtsdatum, aber auch Online-Kennungen wie IP-Adressen und Cookies. Personenbezogene Daten sind dabei auch in unterschiedlichen Situationen zu bewerten.
BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS – WAS SIND PERSONENBEZOGENE DATEN NACH DS-GVO?
Verbot mit Erlaubnisvorbehalt im Datenschutz
Der Grundsatz des „Verbots mit Erlaubnisvorbehalt“ ist ein zentrales Prinzip des Datenschutzes, das in der Datenschutz-Grundverordnung (DS-GVO) verankert ist. Dieser Grundsatz besagt, dass die Verarbeitung personenbezogener Daten grundsätzlich verboten ist, es sei denn, es liegt eine explizite Erlaubnis vor. Diese Erlaubnis kann in Form einer gesetzlichen Grundlage, einer Einwilligung der betroffenen Person oder einer anderen in der DS-GVO geregelten Ausnahme vorliegen.
DS-GVO und BDSG verlangen daher eine sorgfältige Abwägung und klare Rechtfertigung für jede Verarbeitungstätigkeit. Daten sollten nur dann verarbeitet werden, wenn ein legitimer Zweck vorliegt und keine weniger invasive Methode verfügbar ist, um denselben Zweck zu erreichen. Prinzipien wie Datenminimierung und Zweckbindung sind hier besonders relevant: Es dürfen nur die Daten erhoben und verarbeitet werden, die unbedingt notwendig sind, und dies nur für einen klar definierten Zweck.
Kategorien personenbezogener Daten
Personenbezogene Daten können in verschiedene Kategorien unterteilt werden, die jeweils unterschiedliche Anforderungen an den Schutz dieser Daten stellen:
Allgemeine personenbezogene Daten – Diese Kategorie umfasst Basisinformationen wie Name, Adresse, Telefonnummer, E-Mail-Adresse und Geburtsdatum. Diese Daten sind grundlegend und erfordern angemessene Schutzmaßnahmen, um Missbrauch zu verhindern.
Besondere Kategorien personenbezogener Daten – Diese umfassen sensiblere Daten, die gemäß Art. 9 DS-GVO einem besonderen Schutz unterliegen. Dazu gehören:
- rassische und ethnische Herkunft
- politische Meinungen
- religiöse oder weltanschauliche Überzeugungen
- Gewerkschaftszugehörigkeit
- genetische Daten
- biometrische Daten (z.B. Fingerabdrücke, die zur eindeutigen Identifizierung einer Person verwendet werden)
- Gesundheitsdaten
- Daten zum Sexualleben oder zur sexuellen Orientierung
Diese Daten dürfen nur unter strengen Voraussetzungen und meist mit ausdrücklicher Einwilligung der betroffenen Person verarbeitet werden.
Strafdaten – Daten über strafrechtliche Verurteilungen und Straftaten unterliegen ebenfalls besonderen Schutzvorkehrungen, wie in Art. 10 DS-GVO und in nationalen Regelungen vorgesehen.
Das Verständnis der verschiedenen Kategorien personenbezogener Daten und die Notwendigkeit, deren Verarbeitung streng zu regulieren, ist ein zentraler Bestandteil eines effektiven Datenschutzmanagements.
BLOG-TIPP: PERSONENBEZOGENE DATEN BESONDERER KATEGORIEN IM DATENSCHUTZ
Wichtige Maßnahmen zur Umsetzung des Datenschutzes – Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten (VVT)
Unternehmen müssen ein detailliertes Verzeichnis aller Verarbeitungstätigkeiten führen, die personenbezogene Daten betreffen. Dieses Verzeichnis dient als Grundlage für die Datenschutzdokumentation und muss der Aufsichtsbehörde auf Anfrage vorgelegt werden können.
Bei besonders risikoreichen Datenverarbeitungsvorgängen ist eine Datenschutz-Folgenabschätzung notwendig. Diese dient der Identifizierung und Bewertung potenzieller Risiken für die Rechte und Freiheiten der betroffenen Personen sowie der Festlegung von Maßnahmen zur Risikominimierung.
BLOG-TIPP: VERZEICHNIS VON VERARBEITUNGSTÄTIGKEITEN (VVT) IM DATENSCHUTZ FÜR NRW
Implementierung Technischer und Organisatorischer Maßnahmen (TOM)
Zu den TOM zählen Maßnahmen zur Sicherung der Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten. Dazu gehören unter anderem Zugangskontrollen, Verschlüsselungstechniken und regelmäßige Sicherheitsüberprüfungen.
BLOG-TIPP: BEDEUTUNG UND UMSETZUNG VON TOM IN UNTERNEHMEN
Schulung und Sensibilisierung der Mitarbeiter
Mitarbeiter sollten regelmäßig geschult werden, um ein Bewusstsein für den Datenschutz und die Einhaltung der geltenden Vorschriften zu schaffen. Dies umfasst Schulungen über sichere Verarbeitung, Erkennung von Datenschutzverletzungen und den richtigen Umgang mit personenbezogenen Daten.
BLOG-TIPP: MITARBEITERSCHULUNGEN ALS NOTWENDIGE MASSNAHMEN IM DATENSCHUTZ
Erstellung von Datenschutzrichtlinien und -vereinbarungen
Unternehmen sollten klare und verständliche Datenschutzrichtlinien erstellen, die die internen Verfahren und Verantwortlichkeiten im Umgang mit personenbezogenen Daten regeln. Darüber hinaus sind Datenschutzvereinbarungen mit Auftragsverarbeitern notwendig, um sicherzustellen, dass auch externe Dienstleister datenschutzkonform arbeiten.
Meldung von Datenschutzverletzungen
Im Falle einer Datenschutzverletzung sind Unternehmen verpflichtet, diese innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde zu melden. Zudem müssen betroffene Personen unverzüglich informiert werden, wenn ein hohes Risiko für ihre Rechte und Freiheiten besteht.
Einhaltung der DS-GVO und BDSG in Unternehmen und Organisationen
Die Einhaltung der DS-GVO und des BDSG ist für Unternehmen und Organisationen unerlässlich. Durch die Umsetzung der oben genannten Maßnahmen schaffen Sie nicht nur Rechtssicherheit, sondern auch Vertrauen bei Ihren Kunden und Geschäftspartnern. Ein systematischer und umfassender Ansatz zum Datenschutz ist daher ein wichtiger Bestandteil moderner Unternehmensführung.
Sollten Sie Unterstützung bei der Implementierung dieser Maßnahmen benötigen, stehen wir Ihnen als externer Datenschutzbeauftragter gerne zur Seite.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.