Wie wird der Begriff „personenbezogene Daten“ definiert?
Der Begriff “personenbezogen Daten” ist im Rechtsbereich ein wichtiger Begriff. Dieser rückt mit der neuen Datenschutz-Grundverordnung noch mehr in den Mittelpunkt. Ab 25. Mai 2018, versteht der Gesetzgeber unter dem Begriff “personenbezogene Daten”: Alles, was dazu beiträgt, eine Person eindeutig zu identifizieren, unabhängig davon ob es sich darum um sein privates, berufliches oder öffentliches Leben handelt. Identifizierbare Parameter können alles mögliche sein: Namen, Heimatadresse, Foto, E-Mail Adresse, Bankverbindung, Beiträgen zu Sozialen Netzwerken Webseiten, medizinischen Informationen, einer IP-Adresse eines Computers sowohl biometrische als auch genetische Daten etc.
Wie sind bei der DSGVO individuelle Rechte und Bedingungen geregelt?
Mit der neuen Datenschutz-Grundverordnung werden die Rechte der EU-Bürgerinnen und Bürger massiv gestärkt. Dazu gehören beispielsweise die Zugangsrechte, die Vergessenheit und die Datenportabilität. Datenrechner und Datenverarbeiter sind zukünftig verpflichtet, jederzeit ausreichend Informationen über folgende Sachverhalte zu geben:
- Welche Daten gespeichert werden,
- Wie lange die betreffenden Daten gespeichert werden,
- Ob und wann welche Daten in welche Länder übertragen wurden,
- Ob und wann personenbezogene Daten bei Antrag gelöscht oder an Dritte (neuer Dienstleister etc.) übertragen zu wurden.
Sämtliche Auskünfte an den Anfragenden haben in verständlicher und leicht zugänglicher Form zu erfolgen. Kompliziert verfasste Bedingungen, die mehr verwirren als aufklären sind nicht gestattet. Es muss für den Nutzer ebenfalls einfach sein, die zuvor von Ihnen erteilte Zustimmung zur Ergebung. Speicherung und Verarbeitung von (personenbezogen) Daten nachträglich zurückzuziehen. Weitere Informationen lesen Sie hier.
Was ist unter risikobasierter Rechenschaftspflicht zu verstehen?
Neben Verschärfungen einzelner Vorschriften nimmt die risikobasierte Rechenschaftspflicht („Accountability“) gemäß Art.5 (2) DSGVO von nun an eine wichtige Rolle ein: Der Verantwortliche hat dafür Sorge zu tragen hat, dass alle wirksamen Maßnahmen ergriffen werden, inkl. die unter Art. 5 (1) DSGVO definierten Bestimmungen, um die DSGVO Grundsätze und Verpflichtung ordnungsgemäß umzusetzen. All das hat er nachzuweisen („Rechenschaftspflicht“). Diese Rechenschaftspflicht wirkt sich unter anderem auf Verträge, Datenschutzerklärungen, Risikobewertungen und Aufbewahrungsveranstaltungen aus.
Wie schütze ich meine Kundendaten am besten?
Im Allgemeinen reicht eine starke Firewall nicht aus. Um die Sicherheit aufrechtzuerhalten und eine Verarbeitung zu verhindern, die einen Verstoß gegen die Datenschutz-Grundverordnung darstellt, sollten Sie Maßnahmen zur Minderung dieser Risiken, wie z. B. Verschlüsselung, ergreifen. Diese Maßnahmen sollten ein angemessenes Sicherheitsniveau, einschließlich der Vertraulichkeit, gewährleisten, wobei die Risiken und die Art der zu schützenden personenbezogenen Daten zu berücksichtigen sind.
Ist das Profiling unter der DSGVO erlaubt?
Das Profiling beschreibt eine automatisierte Verarbeitung personenbezogener Daten mit dem Ziel, ihr Verhalten vorherzusagen und Entscheidungen darüber zu treffen. Beispiele sind: Automatische Ablehnung eines Online-Kreditantrags, Online-Einstellungsverfahren.
Das Profiling wird in Art. 22 DSGVO erfasst: „Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.“ (Art 22 Abs. 1, DSGVO)
DON’T: Profiling bei unter 16-Jährige: Kinder verdienen einen besonderen Schutz in Bezug auf ihre persönlichen Daten (da sie eine verletzlichere Gruppe darstellen).
Was ist eine Datenschutz-Folgenabschätzung (DSFA)?
Der Verantwortliche ist zuständig für die Prüfung und gegebenenfalls Durchführung der DSFA. Viele Unternehmer sind sich unsicher, was eine Datenschutz-Folgenabschätzung genau ist und wie diese durchzuführen ist.
Mindestanforderungen an den Inhalt einer Datenschutz-Folgenabschätzung:
- eine systematische und umfassende Bewertung der persönlichen Aspekte natürlicher Personen, welche in der geplanten Verarbeitung betroffen sind
- eine Bewertung der Notwendigkeit sowie der Verhältnismäßigkeit dieser Vorgänge
- eine Bewertung der Risiken in Bezug auf die Rechte und Freiheiten der Betroffenen
- die Abhilfemaßnahmen, die zur Bewältigung der oben genannten Risiken getroffen werden
Insgesamt dient die Datenschutz-Folgenabschätzung also der Vorsorge: Noch bevor es zu einer Datenpanne kommen kann, soll das Risiko einer solchen so gut wie möglich minimiert werden.
Worauf ist beim Umgang mit personenbezogenen Daten zu achten?
Grundsätzlich sind das Erheben, Verarbeiten und Nutzen von personenbezogenen Daten verboten.
Personenbezogene Daten dürfen nur dann verwendet werden, wenn dies ausdrücklich erlaubt ist, d. h., eine entsprechende Rechtsgrundlage vorliegt.
Sollen personenbezogene Daten erhoben oder verwendet werden, muss man sich dabei auf eine Regelung aus dem Bundesdatenschutz oder aus einer anderen Rechtsvorschrift stützen können. Natürlich kann der Betroffene auch einwilligen.
Was ist eine Verarbeitungstätigkeit?
Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang im Zusammenhang mit personenbezogenen Daten wie z.B.:
- das Erheben
- das Erfassen
- die Organisation
- das Ordnen
- die Speicherung
- die Anpassung
- die Veränderung
- das Auslesen
- das Abfragen
- die Verwendung
- die Offenlegung durch Übermittlung
- die Verbreitung oder eine andere Form der Bereitstellung
- der Abgleich oder die Verknüpfung
- die Einschränkung
- das Löschen
- die Vernichtung
Unter welchen Voraussetzungen ist das Anfertigen und Verbreiten personenbezogener Fotografien künftig zulässig?
Die Datenschutz-Grundverordnung führt zu keinen wesentlichen Veränderungen der bisherigen Rechtslage im Umgang mit Fotografien. Die Anfertigung und Veröffentlichung einer personenbezogenen Fotografie unterliegt den allgemeinen Regelungen des Datenschutzrechts. Wie bisher auch dürfen Fotos nur verarbeitet werden, wenn die betroffene Person eingewilligt hat oder eine Rechtsgrundlage dies erlaubt.
Muss mit existenzgefährdenden Geldbußen gerechnet werden?
Verhindert werden soll, dass Unternehmen die mit der Verarbeitung personenbezogener Daten hohe Gewinne erzielen, Datenschutzverstöße „aus der Portokasse“ bezahlen. Eine Mindesthöhe schreibt die Datenschutz-Grundverordnung nicht vor.
Jedoch werden zukünftig, um dem Grundrecht auf Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten besondere Wirksamkeit zu verleihen, bei Verstößen gegen die wichtigsten Regelungen der Datenschutz-Grundverordnung erhebliche Strafen zu erwarten sein.
Es drohen Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 Prozent des gesamten weltweit erzieltes Jahresumsatzes des vorangegangenen Geschäftsjahres (Artikel 83 Datenschutz-Grundverordnung). Die Verhängung von Geldbußen bei Datenschutzverstößen steht im pflichtgemäßen Ermessen der Aufsichtsbehörden.
Facebook Fanpage-Betreiber? Worauf sollte ich achten?
Was das DSGVO Facebook Urteil für Unternehmen, Freischaffende und Selbstständige hinsichtlich ihrer Fanpages auf Facebook genau bedeutet ist unklar. Das Urteil macht sie mitverantwortlich für von Facebook erhobenen Nutzerdaten, dennoch haben die Fanpages keinen Einfluss darauf. Grundsätzlich ist es für sie unmöglich, den Datenverkehr des Netzwerkes zu kontrollieren bzw. zu steuern. Ausschließlich Facebook ist bekannt, welche Daten erhoben und wofür wofür diese letztlich verwandt werden. In seinem DSGVO Facebook Urteil stellte der Europäische Gerichtshof allerdings heraus, dass die Verantwortlichkeit beider Parteien nicht gleichwertig ist.
Mit Klagen müssen die Betreiber vorerst nicht rechnen. Hierfür müssten erst bei den zuständigen Aufsichtsbehörden der Wille vorhanden sein, das DSGVO Facebook Urteil umzusetzen oder eine Wettbewerbsklage durch Dritte erfolgen.
