Für den nicht öffentlichen Bereich legt der Gesetzgeber die Erfüllung datenschutzrechtlicher Vorschriften in die Eigenverantwortung der Unternehmen.
Das Datenschutzrecht ist eine recht junge Rechtsmaterie. Zentrale Bedeutung hat das sog. Volkzählungsurteil des Bundesverfassungsgerichts aus dem Jahr 1983. Das Gericht konstatiert, dass das Recht auf informationelle Selbstbestimmung ein Grundrecht ist. Es schützt „den Wert und die Würde der Person, die in freier Selbstbestimmung als Glied einer freien Gesellschaft wirkt.“ Es liegt in der Befugnis des Einzelnen, grundsätzlich selbst zu entscheiden, wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden. „Wer nicht mit hinreichender Sicherheit überschauen kann, welche ihn betreffende Informationen in bestimmten Bereichen seiner sozialen Umwelt bekannt sind, und wer das Wissen möglicher Kommunikationspartner nicht einigermaßen abzuschätzen vermag, kann in seiner Freiheit wesentlich gehemmt werden, aus eigener Selbstbestimmung zu planen oder zu entscheiden.“ (BVerfG Urteil vom 15.12.1983)
Datenschutzrechtliche Vorschriften befinden sich in einer Vielzahl von Gesetzen. Kern ist die VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), kurz DSGVO. Als EU-Verordnung geht sie grundsätzlich allen nationalen Gesetzen vor. Der nationale Gesetztgeber kann jedoch von den in der DSGVO vorgeshenen Öffnungsklausel Gebrauch machen, wie z.B. mit der Neufassung des Bundesdatenschutzgesetz (BDSG n.F.) geschehen ist. Aber auch im Rahmen der Öffnungsklausel kann er keine Regelungen treffen, die gegen die Regelungen der DSGVO verstoßen.
Grundsätzliche ist jede Art der Verarbeitung, Speicherung und Nutzung von personenbezogenen Daten verboten. Die Erlaubnistatbestände sind in Art. 6 DSGVO beschrieben. Erlaubt ist eine Nutzung von personenbezogenen Daten z.B., wenn die betroffene Person in die Verarbeitung einwilligt oder die Daten zur Abwicklung eines Vertragsverhältnis erforderlich sind.
Die Aufgaben des Datenschutzbeauftragten sind vielfältig. Gemäß Art. 39 DSGVO hat der Beauftragte auf das Einhalten der Voraussetzungen des Datenschutzes.
Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben:
• Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
• Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
• Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35 (Datenschutzfolgeabschätzung);
Zusammenarbeit mit der Aufsichtsbehörde;
• Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen.
Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.
Gemäß Art. 37 Abs. 5 DSGVO darf nur der zum Datenschutzbeauftragten benannt werden, der auf der Grundlage seiner beruflichen Qualifikation und insbesondere über das Fachwissen verfügt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis benötigt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.
Der Gesetzgeber hat sich nur vage zur Qualifikation eines Datenschutzbeauftragten geäußert.
Hilfestellung bietet
• das vom Berufsverband der Datenschutzbeauftragten Deutschlands (BvD e.V.) ausgearbeitete Berufsbild des Datenschutzbeauftragten undDer betriebliche DSB muss die gesetzlichen Regelungen, wie die Grundrechte mit Datenschutzbezug, die DSGVO, das BDSG, bereichsspezifische datenschutzrechtliche Regelungen und die einschlägigen Spezialvorschriften des Fachbereichs kennen und sicher anwenden können. Er sollte ferner gute Kenntnisse der Organisation und vertiefte Kenntnisse der Informationstechnik besitzen
Es muss sich also um eine Person handeln, die mit ausreichendem juristischem und EDV-technischen Sachverstand ausgestattet ist. Der Datenschutzbeauftragte darf keine leitende Funktion im Unternehmen haben – Inhaber, Geschäftsführer, Vorstände und dergleichen scheiden damit ebenso aus wie z. B. der EDV-Leiter, die Personalleitung oder der Bürovorsteher.
Die Verpflichtung zur Bestellung eines Datenschutzbeauftragten ergibt sich aus Art. 37 Abs. 1 DSGVO. Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn
a) die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,
b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.
Der bundesdeutsche Gesetzgeber hat von der Öffnungsklausel Gebrauch gemacht und in § 38 BDSG (neu) folgendes geregelt:
1) Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.
Art. 1 DSGVO Gegenstand und Ziele
Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.
Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.
Erwägungsgrund 1 zu Art. 1 DSGVO
1Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. 2Gemäß Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union (im Folgenden „Charta“) sowie Artikel 16 Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten.
Anmerkung:
Ein Erwägungsgrund (EG) ist ein Teil der einer Rechtsnorm vorangehenden Erläuterung bestimmter Tatsachen, der dadurch aufzeigen soll, welche Überlegungen zum Erlass des Rechtsnorm geführt haben.
§ 2 Abs. 4 BDSG (neu) definiert eine nichtöffentliche Stelle wie folgt:
Nichtöffentliche Stellen sind natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, soweit sie nicht unter die Absätze 1 bis 3 fallen. Nimmt eine nichtöffentliche Stelle hoheitliche Aufgaben der öffentlichen Verwaltung wahr, ist sie insoweit öffentliche Stelle im Sinne dieses Gesetzes.
Die wesentliche Grundsätze der Datenverarbeitung sind für alle Unternehmen gleich.
Es ist egal, ob sie ob ein nicht öffentliche Stelle 2 oder über 1.000 Mitarbeiter hat, die Auflagen des DSGVO muss jedes Unternehmen erfüllen, auch unabhängig davon, ob ein Datenschutzbeauftragter bestellt werden muss.
1. Räumlicher Anwendungsbereich – das Marktortprinzip
Die DS-GVO stellt für ihre räumliche Geltung nicht mehr auf den Sitz eines Unternehmens ab, sondern darauf ob ein Anbieter von entgeltlichen oder unentgeltlichen Waren oder Dienstleistungen personenbezogene Daten von in der EU befindlichen Personen verarbeitet.
2. Grundsätze der Datenverarbeitung
Art. 5 DS-GVO werden die Grundsätze der Rechtmäßigkeit, der Verarbeitung nach Treu und Glauben, der Zweckbindung, der Datensparsamkeit, der Richtigkeit, der Begrenzung der Speicherdauer genannt und durch die „Integrität und Vertraulichkeit” der Datenverarbeitung ergänzt. Die Nutzung von zweckgebunden erhobenen Daten zu einem mit dem ursprünglichen Erhebungszweck unvereinbaren Zweck ist nicht zulässig.
3. Verzeichnis aller Datenverarbeitungstätigkeiten
Art. 30 DS-GVO ordnet an, dass Verantwortliche und Auftragsverarbeiter ein Verzeichnis über alle Verarbeitungstätigkeiten unter der Angabe der im Artikel genannten Punkte führen müssen. Dieses Verzeichnis ist nach Anfrage der Aufsichtsbehörde zur Verfügung zu stellen.
4. Erweiterung der Informationspflichten
Der Betroffene ist vor Erhebung von personenbezogenen Daten in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache über die in den Artikeln genannten Verwendungsgesichtspunkte zu informieren. Im Einzelnen sind dies:
Name und Kontaktdaten des für die Datenerhebung Verantwortlichen
die Kontaktdaten des Datenschutzbeauftragten
die Zwecke und die Rechtsgrundlage der Verarbeitung
das berechtigte Interesse des Verantwortlichen oder eines Dritten
Empfänger der personenbezogenen Daten
die Absicht der Übermittlung an ein Drittland oder eine internationale Organisation
Daneben ist der Betroffene auch über
die voraussichtliche Dauer der Datennutzung
die betroffenen Rechte auf Auskunft, Berichtigung, Löschung und eventuelle Einschränkungen dieser Rechte
das Recht auf jederzeitigen Widerruf der Einwilligung
das Beschwerderecht bei einer Aufsichtsbehörde
die Bereitstellung der personenbezogenen Daten
eine automatische Entscheidungsfindung
zu informieren. Falls die Daten nicht vom Betroffenen stammen, ist dieser in gleicher Weise zu informieren und darüber hinaus über die Quelle seiner Daten in Kenntnis zu setzen.
5. Meldepflicht von „Datenpannen“
Die Verletzung des Schutzes personenbezogener Daten muss der Verantwortliche, beispielsweise das Unternehmen, ohne schuldhaftes Zögern und möglichst binnen 72 Stunden nachdem die Verletzung bekannt wurde, der zuständigen Aufsichtsbehörde melden, sofern nicht ein Risiko für die Rechte und Freiheiten natürlicher Personen ausgeschlossen ist (Art. 33 DS-GVO).
Gem. Art. 83 Abs. 3 DSGVO können mit einem maximalen Bußgeld von 10 Mio. oder 2 % des weltweiten Jahresumsatzes geahndet werden, Verstöße gegen:
Gem. Art. 83 Abs. 4 DSGVO können mit einem maximalen Bußgeld von 20 Mio. oder 4 % des weltweiten Jahresumsatzes geahndet werden, Verstöße gegen Regelungen zu z.B.
Art. 83 Abs. 5 DSGVO können mit einem maximalen Bußgeld von 20 Mio. oder 4 % des weltweiten Jahresumsatzes geahndet werden, Verstöße gegen
Art. 82 DSGVO Haftung und Recht auf Schadenersatz
(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
(2) Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.
Rechtsanwalt Georg Baumann ist geschäftsführender Gesellschafter der Georg Baumann Informationssysteme GmbH.
Georg Baumann bildet in seinem Unternehmen Fachinformatiker für Systemintegration aus.
Als externer Datenschutzbeauftragter betreut er seit 2006 u.a. Energieversorgungsunternehmen, Stiftungen und Verbände, wie den Deutschen Journalisten Verband (DJV e.V.) und den Landesverband des DJV NRW e.V. Er berät öffentliche Einrichtungen in NRW bei der Erstellung und Umsetzung von Datenschutzkonzepten.
Als Dozent an der Akademie des Deutschen Beamtenbundes bildet er u.a. Datenschutzbeauftragte für den öffentlichen Bereich aus.
Er hat bei der TÜV-Süd Akademie die Qualifizierungen zum Datenschutzbeauftragter – DSB TÜV (Zertifikatsnummer 1941#313357829)) und zum Datenschutzauditor – DSA TÜV (Zertifikatsnummer 1941#313465516) durchlaufen.
Georg Baumann ist Mitglied in der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD), in der Deutsche Vereinigung für Datenschutz e.V. (DVD), in der Rechtsanwaltskammer Köln und im Berufsverband der Datenschutzbeauftragten Deutschlands e.V. (BVD)
Schreiben Sie mir …
oder rufen Sie mich an
… bedeutet den Schutz des Einzelnen gegen die unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten. Sie hat in dem allgemeinen Persönlichkeitsrecht des Art. 2 Abs. 1 des Grundgesetzes ihre verfassungsrechtliche Grundlage.
