Datenschutz praxisgerecht | Informationen und Services zum Datenschutz
Anruf: +49 711 896601 75

Überblick Datenschutz

Überblick Datenschutz

Jüngste Historie

  • Geheimdienstaktivitäten USA, Großbritannien
  • Häufung großer Datendiebstählen wie Login- bis hin zu Kreditkartendaten
  • Häufig diskutiert „Recht auf Vergessenwerden im Netz“, Big Data, Industrie 4.0, Internet of Things
  • 2015 Kippen des Safe Harbour Abkommens
  • 2015 Offenes EU Verfahren zum Konflikt zwischen EU Recht und Geheimdienstpraxis in Großbritannien
  • 05/2016 EU Datenschutz-Grundverordnung (DSVGO) veröffentlicht  – Tritt 05/2018 in Kraft
Historie seit 1970
  • Schweigepflicht von Ärzten, Anwälten, Beichtgeheimnis, Post, Brief- und Fernmeldegeheimnis seit Anfang 1900
  • 1977 veröffentliche der Bund (Nach Hessen 1970) das erste Datenschutzgesetz
  • 1990 Novellierung – Das Volkszählungsurteil 1983 vom Verfassungsgericht zeigte auf, daß eine Novellierung erforderlich ist
  • 2009 Novellierung zur Regelung von Auskunfteien, Scoring, Adresshandel, …

Einleitung zum BDSG/DSGVO – Bürde und/oder Mehrwert?

Im Nachfolgenden gebe ich einen schnellen, skizzierten Überblick zum Datenschutz. Sie werden nach Lesen einen individuellen Eindruck haben.

Möglicherweise werden Sie es als zusätzliche Belastung empfinden. Dennoch läßt sich kaum ausklammern, daß das BDSG als Mastergesetz in Zeiten von NSA, Snowden, Wettbewerb und der unaufhaltsam wachsen Cyberkriminatität, positive Seiten für Ihr Geschäft bietet.
Engagement für den, ohnehin unumgänglichen Datenschutz, läßt sich sehr gut bewerben.

Die Umsetzung des BDSG in Ihrem Unternehmen, ist eine strukturierte Hilfestellung, welche als „Abfallprodukt“ die Datensicherheit in Ihrem Unternehmen massiv verbessert. Daten, z.B. Kundendaten, Verkaufsdaten, Betriebsgeheimnisse, etc. sind, mehr denn je, wesentlicher Teil Ihres Unternehmenswertes. Dieser wird in jedem Fall besser geschützt sein, Lücken geschlossen.

Unser Motto ist,  Datenschutz praxisgerecht umzusetzen. Langjähige Erfahrung in IT, Bereichsleitung und selbst als Geschäftsführer ist hierbei die wesentliche Grundlage.

Worum geht es im Kern?

Die ärztliche Schweigepflicht ist allgemein greifbar

Das BDSG erweitert das Selbstbestimmungsrecht auf alle persönlichen Daten

Hier fällt die Umsetzung in die Praxis auf technischer und organisatorischer Ebene weit schwerer

Das BDSG hat weiterhin Berühr- und Überschneidungspunkte mit Post- und Briefgeheimnis, Telemediengesetz, Telekommunikationsgesetz und IT-Sicherheitsgesetz. Daraus lassen sich viele Synergien ableiten, daher wird das BDSG oftmals als „Mastergesetz“ bezeichnet

Beispiele

  • Email Veranstaltungseinladung. Alle Adressaten sind im CC. Datenschutzverstoß
  • Adobe, Punica und Unilever haben zu langsam auf die Ungültigkeit des Safe Harbour Abkommen reagiert. Alle drei Unternehmen mußten Bußgeldern bezahlen
  • Videoüberwachung
  • Wie werden Initiativbewerbungen gegenüber Stellenbewerbungen behandelt
  • Jeder MA kann alle Kundendaten einsehen
  • Reihe vernetzter Home Automation Produkte. Hier war Anwesenheit bis hin zur Videoübertragung offen im Netz einsehbar

Es gilt das Verbotsprinzip!

Keine Erhebung, Verarbeitung, Nutzung von Daten ohne jeweilige Einwilligung

Rechte

  • Auskunftsrecht – Personen können Auskunft über gespeicherte Daten und Zweck anfordern
  • Löschung/Sperrung – Personen können Daten löschen oder sperren lassen
  • Löschung/Sperrung – Recht auf Vergessen. Daten müssen ohne Aufforderung nach bestimmten Zeiträumen gelöscht werden
  • Korrektur – Daten müssen auf Anforderung korrigiert werden
  • Zweckgebunden – Daten dürfen nur für den eingewilligten Zweck verwendet werden
  • Unbeschränktes Widerrufsrecht – Personen können ihre Einwilligung jederzeit wiederrufen
  • Personen können sich an die Datenschutzaufsicht wenden

Dies gibt einen ersten Eindruck wie weitreichend das BSDG in Ihre Organisation eingreift

Grundsätze Datenschutz

  • Erlaubnisgrundlage und Erlaubniserweiterung jeweils schriftlich, ansonsten gilt in jedem Fall
    • Verbotsprinzip
    • Daten dürfen nur direkt erhoben werden
    • Zweckbindung
    • Datenerhebung nur soviel, wie unbedingt notwendig
    • Freie Entscheidung zur Einwilligung

Was bedeutet dies für Unternehmen ?

Schaffung eines Datenschutzkonzepts

Bestellung eines Datenschutzbeauftragten

Verfahrensverzeichnis„, eine „Liste“ aller Verfahren die personenbezogene Daten verarbeiten, sowie ein öffentliches Verfahrensverzeichnis

Überprüfung, bzw. Anpassung der Verfahren, um die gesetzlichen Regelungen umzusetzen. Z.B. wird bei der Onlinebestellung das Geburtsdatum abgefragt. Das wiederspricht der Datensparsamkeit. Das Jahr ist wiederum erlaubt. Das BDSG nennt „Technische und organisatorische Maßnahmen“. Dies ist die Leitlinie nach deren Punkte Verfahren zu betrachten, zu betreiben sind

Beispiele

Organisatorisch: HR Bereich: Clean Desk, Verschließen der Tür bei Verlassen des Raums, etc.

Technisch: Verfallsdatum für persönliche Daten, da bestimmte Daten automatisch nach bestimmten Fristen gelöscht werden müssen, etc.

Vorabkontrolle von Verfahren bei Neueinführung oder Änderung

Auftragsdatenverarbeiteung/Vorabkontrolle von Dienstleistern, welche mit Ihren personenbezogenen Daten in Berührung kommen

Mitarbeiterverpflichtung, Sensibilisierung und regeläßige Schulung zum Datenschutz

 

Wen betrifft das BDSG?

Öffentliche Stellen und Kirchen und Privatwirtschaft. Für die Privatwirtschaft ist die Zahl der Mitarbeiter maßgeblich. Dazu zählen alle Formen von Mitarbeitern. Hier geht es darum, ab wann ein Datenschutzbeauftragter bestellt werden MUSS:

  • Digitale Datenverarbeitung: Ab 10 Mitarbeitern
  • Andere Datenverarbeitung, z.B. Papierform: Ab 20 Mitarbeitern

Gibt es Konsequenzen bei Nichtbeachtung des BDSG?

Es können Bußgelder und Strafen gegenüber Unternehmen und persönlich gegen die hauptverantwortlichen der Geschäftsführung verhängt werden. U.U. kommen Schadensersatzansprüche hinzu.

Die möglichen Strafen können u.U. als relativ mild beurteilt werden.

 Meldepflicht von Datenschutzverlusten an die Aufsichtsbehörde

Kritischste Folgen bei vor allem bei eingetretenen Fällen:

Wie können Fälle eintreten?

Anschwärzen“ bzw. Meldung an die Aufsichtsbehörde

Z.B. kann es sich um einen Wettbewerber handeln, der Ihnen schaden möchte

Z.B. ein Kunde möchte eine Auskunft, die Sie nicht liefern können (Weil Sie ggf. nicht wissen wo diese überall gespeichert sind, woher sie kommen, etc.)

Unzufriedene Mitarbeiter

Investigative Presse

Datenverlust

Indirekt von einem anderen Unternehmen betroffen

Proaktive Überprüfung durch die Aufsichtsbehörde

Negative Presse, Verlust von Kundenvertrauen, Aufträgen und Ärger mit der Aufsichtsbehörde

Mögliche monetäre Folgen

Bußgelder können in leichten Fällen bis 50.000 und schweren Fällen bis 300.000 betragen. Dies klingt bei entsprechender Unternehmensgröße relativ mild.

Schadensersatzforderungen, wenn z.B. eine Person durch Datenverlust oder andere Nachteile geschädigt ist

Strafen aus unlauterem Wettbewerb. Z.B. ein Konkurrent befolgt BDSG und sieht sich durch Ihre Nicht-Einhaltung geschädigt/benachteiligt

 Mit dem EU-Datenschutzgrundverordnung kommen extreme Steigerungen auf uns zu

Bußgelder liegen dann im 10 – 20 Mio Bereich, bzw. 2 – 4% vom jährlichen Gesamtumsatz, des KONZERNS (Vgl. BDSG: Bestrafung des schuldigen Unternehmen des Konzerns). Dies sind materielle finanzielle Risiken

Was ist zu tun?

Schritt 1: Entscheidung für einen internen oder externen Datenschutzbeauftragten (Intern/Extern hat bedeutende Implikationen)

Bestellung eines Datenschutzbeauftragten

Schritt 2: Grundaufbau des Datenschutzes im Unternehmen – Datenschutzkonzept. „Quasi-Audit“, Erstellen des Verfahrensverzeichnisses, Mitarbeiterschulung, etc.

Ersterfassung der Situation und Grundstruktur schaffen, Korrekturen

Schritt 3: Leben des Datenschutzes, Kontrolle, Vorabkontrolle bei neuen Themen, regelmäßige Sensibilisierung, etc.

Leben des Datenschutz, regelmäßige Kontrolle und Sensibilisierung