Wir leben in einem digitalen Zeitalter, in dem die Verarbeitung und der Austausch von persönlichen Informationen unumgänglich geworden ist. Die Menge an Daten, die wir jeden Tag produzieren und austauschen, ist wirklich verblüffend. Ob durch das Öffnen einer E-Mail-Adresse, Online-Banking, Online-Shopping, die Nutzung von Social-Media-Plattformen – wir teilen ständig mehr und mehr von unseren persönlichen Daten. Das Weltwirtschaftsforum bezeichnet Daten als den Sauerstoff für das Feuer der vierten industriellen Revolution. Doch was genau sind personenbezogene Daten, was ist Datenschutz, für wen gilt er, welche Rechte hat der Einzelne an seinen persönlichen Daten? Der folgende Artikel gibt Antworten auf diese und weitere Kernfragen.
Die Allgemeine Datenschutzverordnung der Europäischen Union (GDPR) ist das verbindliche Gesetz, das den Datenschutz in der gesamten Europäischen Union (EU) regelt. Die GDPR ist am 25. Mai 2018 in Kraft getreten. Sie vereint die Datenschutzgesetze in der gesamten EU und gilt für alle Verantwortlichen, die personenbezogenen Daten von in der EU ansässigen Betroffenen verarbeiten und speichern, unabhängig vom Standort.
Was sind personenbezogene Daten?
Die EU-Charta der Grundrechte legt fest, dass EU-Bürger das Recht auf den Schutz ihrer personenbezogenen Daten haben. Im Sinne des GDPR sind personenbezogene Daten alle Informationen, die sich auf eine bestimmte oder bestimmbare lebende Person beziehen. Dazu gehören z.B. ihr Name, ihre Adresse, ihre Personalausweisnummer, ihr Internet-Protokollcode (IP-Code), persönliche gesundheitsbezogene Daten und noch viele weitere Informationen. Personenbezogene Daten sind alle Informationen, die, wenn sie gesammelt werden, zur Identifizierung einer bestimmten Person führen können. Das GDPR schützt personenbezogene Daten ungeachtet der für die Verarbeitung dieser Daten verwendeten Technologie.
Was sind sensible Daten?
Sensible Daten bezeichnen eine besondere Unterkategorie personenbezogener Daten. Diese Informationen beziehen sich auf die rassische oder ethnische Herkunft, finanziellen Status, politische Meinung, philosophische Überzeugung, Religion, Gewerkschaftszugehörigkeit, sexuelle Orientierung, Gesundheit, Sexualleben, genetische Daten oder biometrische Daten. Sensible Daten genießen im Rahmen des GDPR besondere Berücksichtigung und Schutz, da sie das Potenzial haben, in einer Gesellschaft zu starker Stigmatisierung oder Diskriminierung zu führen.
Wann gilt das GDPR?
Das GDPR findet Anwendung, wenn Ihre Daten digital oder in einem strukturierten Ablagesystem auf Papier gesammelt, verwendet und gespeichert werden. Dies bezieht sich sowohl auf die automatisierte als auch auf die manuelle Verarbeitung, vorausgesetzt, die Daten werden nach vordefinierten Kriterien organisiert. Das GDPR gilt auch für die vollständige oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht-automatisierte Verarbeitung, sofern sie Teil einer strukturierten Datei ist. Die Bestimmungen gelten nur für Personendaten, die sich auf natürliche Personen beziehen. Sie gelten nicht für Daten über Unternehmen oder andere juristische Personen.
Für wen gilt das GDPR?
Das GDPR gilt für Unternehmen oder juristische Personen, die personenbezogene Daten im Rahmen der Tätigkeit bei einer in der EU ansässigen Niederlassungen verarbeiten. Dies ist unabhängig davon, wo die Daten verarbeitet werden. Das GDPR gilt auch für Unternehmen, die außerhalb der EU ansässig sind, jedoch personenbezogene Daten in Bezug auf Waren oder Dienstleistungen, die Personen in der EU angeboten werden, verarbeiten oder das Verhalten von Personen in der EU beobachten. Das GDPR gilt auch für kleine und mittelständige Unternehmen („KMU“), die personenbezogene Daten wie oben beschrieben verarbeiten.
Einige Verpflichtungen des GDPR gelten jedoch nicht für die oben genannten Unternehmen. Dies ist der Fall wenn die Verarbeitung personenbezogener Daten kein Kernbestandteil des Geschäfts ist und die Geschäftstätigkeit keine Risiken für Einzelpersonen mit sich bringt.
Unter welchen Umständen können Daten verarbeitet werden?
Art und Umfang der personenbezogenen Daten, die ein Unternehmen oder eine Körperschaft verarbeiten darf, hängen davon ab, ob der Grund für die Verarbeitung der Daten rechtmäßig und der beabsichtigte Verwendungszweck derselbe ist. Es gelten mehrere Regeln, die das Unternehmen bei der Verarbeitung von Daten einhalten muss:
- Die persönlichen Daten müssen in einer rechtmäßigen, fairen und transparenten Weise verarbeitet werden,
- Für die Verarbeitung der Daten muss ein bestimmter Zweck bestehen, und dieser muss Einzelpersonen bei der Erfassung ihrer persönlichen Daten angegeben werden,
- Das Unternehmen muss sicherstellen, dass es nur personenbezogene Daten sammelt und verarbeitet, die zur Erfüllung dieses Zwecks erforderlich sind, und nicht einem anderen Zweck dienen,
- Die personenbezogenen Daten müssen im Hinblick auf die Zwecke, für die sie verarbeitet werden, richtig und aktuell sein, andernfalls müssen sie korrigiert werden.
- Die Personendaten dürfen nicht für andere Zwecke verarbeitet werden, die mit dem ursprünglich angegebenen Verwendungszweck nicht vereinbar sind,
- Das Unternehmen muss sicherstellen, dass persönliche Daten nicht länger gespeichert werden, als es für die Zwecke, für die sie gesammelt wurden, erforderlich ist,
- Das Unternehmen muss geeignete technische und organisatorische Sicherheitsvorkehrungen treffen, die die Sicherheit der personenbezogenen Daten gewährleisten, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor versehentlichem Verlust, Zerstörung oder Beschädigung.
Mit welchen Sanktionen und Verantwortlichkeiten muss ein Unternehmen rechnen, wenn es die GDPR nicht einhält?
Datenkontrolleure und Datenverarbeiter müssen mit schwerwiegenden Konsequenzen rechnen, wenn sie sich nicht an die europäischen Vorschriften halten. Ein Unternehmen steht sowohl als Auftragsverarbeiter als auch für die Mitarbeiter der Datenverarbeitung in der Verantwortung, abhängig von der genauen Art und Verwendung der Daten. Je nach der Bestimmung, gegen die verstoßen wird, können die Geldbußen maximal 20 Millionen EUR oder 4 % des weltweiten erzielten Umsatzes des vergangenen Jahres betragen, je nachdem, welcher Betrag höher ist. Darüber hinaus unterliegen sowohl die Datenkontrolleure als auch die Datenverarbeiter einer gesamtschuldnerischen Haftung für Schäden.
Jüngste Forschungsergebnisse der amerikanischen Großkanzlei DLA Piper zur Verletzung des GDPR-Datenrechts berichteten, dass es vom 25. Mai 2018 bis Januar 2020 in der EU 160.921 Verletzungen personenbezogener Daten gegeben hat. Seit der Veröffentlichung des Berichts im Januar 2020 sind die Zahlen auf 163.551.023 angestiegen. DLA Piper zeigt, dass die aktivsten EU-Mitgliedsstaaten, die gegen das GDPR verstoßen haben, Frankreich, Österreich und Deutschland sind. Die bekanntesten Beispiele für Verstöße gegen das GDPR reichen vom Versäumnis, nach dem Datenerwerb eine ausreichende Due-Diligence-Prüfung durchzuführen, über die Nichteinhaltung von angemessene Sicherheitsmaßnahmen, mangelnde Transparenz darüber, wie die Daten von den Betroffenen gesammelt und für Werbezwecke verwendet wurden, übermäßige Datenspeicherung und eine fehlende ordnungsgemäße Zustimmung.
Die Nichteinhaltung des GDPR hat schwerwiegende Folgen, wie eine kürzlich in Deutschland getroffene Entscheidung zeigt. Hierbei wurde ein Arbeitgeber wegen Verstoßes gegen das GDPR mit einer saftigen Geldstrafe belegt. Der schwedische Einzelhandelskonzern Hennes & Mauritz (The H&M Company) hatte über mehrere Jahre hinweg in Einzelgesprächen zwischen den Mitarbeitern und ihren Vorgesetzten persönliche Daten der Mitarbeiter gesammelt und digital gespeichert. Diese Informationen wurden teilweise detailliert aufgezeichnet, digital gespeichert, im Laufe der Zeit aktualisiert und konnten von bis zu fünfzig Führungskräften im gesamten Unternehmen abgerufen werden. Im Oktober 2019 wurden diese Informationen aufgrund eines Konfigurationsfehlers unternehmensweit für einige Stunden zugänglich. Ohne dass die Mitarbeiter davon wussten, hatte H&M persönliche Informationen der Mitarbeiter gesammelt, aufgezeichnet, gespeichert und aktualisiert. Dieser Verstoß wurde der Hamburger Datenschutzbehörde („HmbBfDI“) gemeldet, die eine Geldstrafe in Höhe von 35,2 Millionen Euro für die illegale Überwachung der Aktivitäten ihrer Mitarbeiter durch den Arbeitgeber verhängte und erklärte, diese Geldstrafe sei „angemessen und wirksam, um Unternehmen davon abzuhalten, die Privatsphäre ihrer Mitarbeiter zu verletzen“. Darüber hinaus verpflichtete sich H&M, verschiedene Abhilfemaßnahmen zur Umsetzung des Datenschutzes zu ergreifen und die Beschäftigten zu entschädigen. Diese Entscheidung sendet eine starke Botschaft an alle Unternehmen, sicherzustellen, dass sie die persönlichen Daten der Mitarbeiter nicht übermäßig verarbeiten und die GDPR einhalten.
Welche Rechte hat eine Person in Bezug auf ihre persönlichen Daten?
Zum Zeitpunkt der Erfassung Ihrer Daten hat jede Person folgende Rechte:
- das Recht zu erfahren, wer welche Informationen verarbeitet und aus welchem Grund,
- das Recht, Zugang zu den personenbezogenen Daten zu beantragen,
- das Recht, der Verarbeitung der Daten zu widersprechen,
- das Recht, die Daten ohne unangemessene Verzögerung zu korrigieren,
- das Recht, Daten löschen zu lassen,
- das Recht auf Mitsprache bei automatisierten Entscheidungen und
- das Recht, persönliche Daten zu verschieben.
Wie können Unternehmen sicherstellen, dass sie GDPR-konform sind?
Zusammenfassend lässt sich sagen, dass Unternehmen sicherstellen müssen, dass sie GDPR-konform agieren, um schwerwiegenden Folgen zu vermeiden. Sie können dies wie folgt tun:
- Kenntnis und vollständiges Verständnis aller Schlüsselbegriffe und Artikel zu GDPR,
- Schulung des Personals über die Grundprinzipien des GDPR und die Verfahren, die zur Einhaltung der GDPR eingeführt werden,
- alle internen Verfahren des Unternehmens mit den Datenschutzrichtlinien und dem GDPR in Einklang bringen,
- Überprüfung und Aktualisierung der in den Mitarbeiter-, Kunden- und Lieferantenverträgen enthaltenen Informationen,
- Implementierung geeigneter technischer und organisatorischer Schutzmaßnahmen, die die Sicherheit der persönlichen Daten gewährleisten,
- Sicherung persönlicher Daten durch geeignete organisatorische und technische Maßnahmen und Überprüfung, ob Datentransfers in Länder außerhalb der EU mit den GDPR-Anforderungen konform sind,
- proaktiver Ansatz bei der Überwachung und Aufdeckung von Verstößen und bei der Sicherstellung einer ordnungsgemäßen Datenverwaltung,
- Die Überprüfung von Einwilligungsverfahren muss spezifisch, granular und überprüfbar sein, die Einwilligung muss einfach zu verstehen und leicht zu widerrufen sein,
- Die Zuweisung eines Datenschutzbeauftragten (DSB) ist für Behörden oder Organisationen erforderlich, die in großem Umfang Personen oder besondere Datenkategorien oder Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten überwachen,
- Bei der Entwicklung eines Rahmens von Richtlinien und Verfahren zur Unterstützung der Rechte von Datensubjekten müssen die Verfahren angemessen sein, damit die Datensubjekte ihre erweiterten Rechte gemäß GDPR ausüben können.
- Schärfung des Bewusstseins für die GDPR-Compliance in der gesamten Organisation und in jeder Phase der Geschäftsprozesse,
- Erstellen Sie einen Umsetzungsplan für die Einhaltung der GDPR, nachdem festgestellt wurde, welche aktuellen Richtlinien und Praktiken geändert werden müssen, und erstellen Sie einen Plan für die Umsetzung der notwendigen Änderungen.
Die Auswirkungen von GDPR können nicht ignoriert werden, und Unternehmen müssen daher bestrebt sein, GDPR-konform zu agieren. Wenn sie in ihrem Unternehmen keine Expertise zum Thema GDPR haben, sollten Sie sie externe Beratungsfirmen beauftragen, die über das erforderliche Fachwissen verfügen.
Die COVID-19-Pandemie hat dazu geführt, dass Unternehmen mehrere Maßnahmen ergriffen haben, die die Verarbeitung von persönlichen Daten, einschließlich Gesundheits- und Datenschutzdaten, beinhalten. Aus diesem Grund ist es für Unternehmen besonders wichtig geworden, sicherzustellen, dass sie GDPR-konform sind. Unternehmen und Organisationen sollten sich daher bewusst sein, dass bestimmte Maßnahmen Auswirkungen auf die Privatsphäre von Einzelpersonen haben. Firmen müssen ein Gleichgewicht finden zwischen Sicherheitsmaßnahmen, die der öffentlichen Gesundheit zugute kommen, und invasiven Kontrollen, die sich auf die Privatsphäre von Einzelpersonen auswirken. Ebenfalls müssen Unternehmen sicherstellen, dass die Verarbeitung personenbezogener Daten, die durch die Maßnahmen zur Verhinderung der Verbreitung von COVID-19 gesammelt wurden, allen Grundprinzipien der Datenverarbeitung nach dem GDPR entsprechen muss.
Centurion Plus
Centurion Plus Deutschland bietet professionelle Rechtsberatung für Unternehmen an, um sicherzustellen, dass sie nicht nur alle wichtigen Vorschriften einhalten, sondern auch die notwendigen Grenzen für die Erhebung, Weitergabe und Nutzung personenbezogener Daten, insbesondere im Zusammenhang mit Gesundheitsdaten, gesetzt haben. Centurion Plus bietet darüber hinaus weitere Dienstleistungen an, wie z.B. Rechtsberatung zu den Schlüsselkonzepten des GDPR, Durchführung von Audit-Politiken und die Einführung sowie Umsetzung kurz- oder langfristiger Maßnahmen und Verfahren zur Gewährleistung der Sicherheit von personenbezogenen Daten.
Kontaktieren Sie uns noch heute für ein kostenloses Beratungsgespräch.