Nachdem die EU Datenschutzgrundverordnung als unmittelbar in Deutschland geltendes Recht mit Vorrang vor dem Bundesdatenschutzgesetz am 25.05.2018 in Kraft getreten ist, ist die zunächst erwartete große Abmahnwelle ausgeblieben. Dies geht einher mit einer Verlautbarung der Datenschutzbehörden, Verstöße gegen die Datenschutzgrundverordnung im ersten Jahr großzügig zu handhaben. Wir möchten deshalb die Gelegenheit nutzen, auf einige grundsätzliche Dinge hinzuweisen, die trotz fehlender Rechtsprechung bereits jetzt als gesichert gelten:

  • Rechtsrahmen

Die Datenschutzgrundverordnung gilt für die ganz oder teilweise Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten und die in einem Datensystem (z. B. Karteien, Ordnern etc.) gespeichert sind oder gespeichert werden sollen. Der Ausdruck „personenbezogene Daten“ bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Keine Anwendung findet die Verordnung auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher und familiärer Tätigkeit.

  • Datenschutzorganisation

Unabhängig von der Verpflichtung zur Bestellung eines Datenschutzbeauftragten bedarf es einer Datenschutzorganisation durch den verantwortlichen Verarbeiter.

Grundprinzip ist die sogenannte Accountability nämlich:

Sicherstellung, Nachweis und Überprüfung.

Die Accountability erfordert ein Datenschutzmanagementsystem in dem die technisch organisatorischen Maßnahmen sowie die Datenverarbeitung als solche dokumentiert werden. Darüber hinaus fordert sie eine umfassende Rechenschaftspflicht über die Einhaltung der Vorschriften der Datenschutzgrundverordnung.

Der Umfang der Rechenschaftspflicht erstreckt sich auf:

  • Die Rechtmäßigkeit der Verarbeitung
  • Die Zweckbindung
  • Die Datenminimierung
  • Die Richtigkeit
  • Die Speicherbegrenzung
  • Die Integrität und Vertraulichkeit

Verarbeitung ist jeder mit oder ohne Hilfe automatisierte Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, nämlich:

  • Das Erheben oder Erfassen
  • Organisation, das Ordnen und die Speicherung
  • Die Anpassung oder Veränderung
  • Das Auslesen oder Abfragen
  • Die Verwendung
  • Die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung
  • Der Abgleich und die Verknüpfung
  • Die Einschränkung
  • Das Löschen und die Vernichtung

Nur unter strengen Einschränkungen dürfen folgende sogenannten besonderen Kategorien personenbezogener Daten verarbeitet werden.

  • Klassische und etnische Herkunft
  • Politische Meinungen
  • Religiöse oder weltanschauliche Überzeugungen
  • Gewerkschaftszugehörigkeit
  • Genetische Daten
  • Biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person
  • Gesundheitsdaten
  • Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person

 

  • Adressaten

Adressaten sind die „Verantwortlichen“, nämlich die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet sowie die sogeannten „Auftragsverarbeiter“ nämlich natürliche oder juristische Personen, Behörden, Einrichtung oder andere Stelle die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten.

Sofern Sie Fragen zur Datenschutzordnung-Organisation sowie zur Bestellung eines Datenschutzbeauftragten haben, können Sie sich gerne und jederzeit an Herrn Rechtsanwalt Andreas Maccari in der Sozietät Dr. Kling°Heufelder wenden.