Dezember 2019

Entsprechend Artikel 30 der europäischen Datenschutzgrundverordnung (DSGVO) fordert die Europäische Kommission (fast) jeden dazu auf, ein Verzeichnis der Verarbeitungstätigkeiten zu führen, der Daten erhebt. Vor der Einführung der DSGVO wurde dieses Verzeichnis noch als Verfahrensverzeichnis bezeichnet und enthielt einige Vorschriften, die weggefallen sind.

Was ist neu im Verzeichnis für Verarbeitungstätigkeiten?

Eine große Neuerung ist, dass kein öffentliches Verzeichnis mehr geführt werden muss. Während früher das Verfahrensverzeichnis auf Antrag vorgelegt werden musste, ist das neue Verzeichnis nur noch intern. Dieses interne Verzeichnis muss sowohl die für die Datenverarbeitung Verantwortlichen als auch die jeweiligen Auftragsverarbeitenden führen. Im Sinne der DSGVO sind Auftragsverarbeitenden entweder natürliche oder juristische Personen, Behörden, Istitutionen usw., die personenbezogen Daten im Auftrag eines anderen Verantwortlichen verarbeiten.

Ausgenommen von dieser Pflicht sind Unternehmen oder Institutionen, die weniger als 250 Mitarbeiter beschäftigen – außer die Verarbeitung von personenbezogenen Daten in diesem Unternehmen birgt

„ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien“ (DSGVO Art. 30, Abs. 5).

Was muss das Verzeichnis von Verarbeitungstätigkeiten beinhalten?

Der Inhalt des Verzeichnisses unterscheidet sich in Teilen je nachdem, ob es vom Verantwortlichen oder einem Auftragsverarbeitenden geführt wird.

Das Verzeichnis eines Verantwortlichen muss den Namen und die Adressdaten des Verantwortlichen, seines Vertreters und ggf. eines Datenschutzbeauftragten (DSB) enthalten. Außerdem müssen die Kategorien der betreffenden Personen und die ihrer personenbezogenen Daten, der Zweck der Datenverarbeitung, sowie die Kategorien der Empfänger notiert werden.

Wenn personenbezogene Daten an ein Drittland übermittelt wurden, oder werden, das nicht in im Geltungsbereich der DSGVO liegt, so muss dies unter Garantieren für die Einhaltung der datenschutzrechtlichen Bestimmungen erfolgen.

Soweit möglich sollten auch Fristen für die Löschung von Daten und eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen der Datenverarbeitung im Verzeichnis hinterlegt werden.

Das Verzeichnis von Auftragsverarbeitenden ist weniger umfangreich. Hier müssen selbstredend die Namen und Kontaktdaten der Auftragsverarbeitenden und des Verantwortlichen, bzw. seines Vertreters und des DSB, die Kategorien, die im Auftrag bearbeitet werden, die Bestimmungen hinsichtlich des Umgangs mit Daten, die an ein Drittland übermittelt werden und wenn möglich eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen.

Das Verzeichnis für Verarbeitungstätigkeiten ist eine Arbeitsunterstützung

Nicht nur ist das Verzeichnis für Verarbeitungstätigkeiten eine Rechtspflicht für Unternehmen und Institutionen, sondern ist – sofern es richtig geführt wird – eine deutliche Hilfe bei der alltäglichen Datenverarbeitung. Spätestens bei einer Kontrolle durch die Datenschutzaufsicht ist ein sorgfältig geführtes Verzeichnis eine große Hilfe, um die Übersicht über die gesammelten Daten und ihre Verwendung zu behalten.

Auch für die interne Datenschutzkontrolle ist das Verzeichnis eine große Hilfe. Denn eine Verarbeitungsübersicht gibt insbesondere darüber Auskunft, welche personenbezogenen Daten, unter welcher Verwendung automatisierter Verfahren, auf welche Weise verarbeitet worden sind und welche Datenschutzmaßnahmen die Prozesse schützen.

Das Verzeichnis hilft auch dabei, tatsächlich die Rechte der Betroffenen zu erfüllen, etwa wenn diese Auskunft über ihre personenbezogenen Daten fordern – nur mit einem Verzeichnis können Unternehmen und Institutionen die Übersicht über gesammelte Daten behalten.

Wie wird ein Verzeichnis zur Verarbeitungstätigkeiten erstellt?

Im ersten Schritt erfordert die Erstellung eines Verzeichnisses zur Verarbeitungstätigkeit einen gewissen Aufwand. Denn um ein brauchbares Verzeichnis anzulegen, muss erst eine Übersicht über die bisher gesammelten Daten, ihre Kategorien, ihre Zwecke und die jeweiligen Verantwortlichen gewonnen werden.

In einem zweiten Schritt gilt, eine Liste mit allen Verfahren und den Programmen zu erstellen, die die personenbezogenen Daten verarbeiten und festzuhalten, wozu diese dienen – denn jetzt müssen die Fachverfahren, Softwareanwendungen und Datenverarbeitungszwecke miteinander verknüpft werden. Nur so kann nachgehalten werden, wie die sensiblen Daten verarbeitet werden.

Anschließend können die Personen- und Datenkategorien definiert, die jeweiligen Datenempfänger festgestellt, Löschfristen festgelegt und Datenübermittlungen an Drittländer überprüft werden.

Das Verzeichnis hilft nur bei fortlaufender Pflege

Damit das Verzeichnis tatsächlich die Arbeit erleichtern kann und im Falle eines Datenschutzverstoßes den Anforderungen der Datenschutzbehörde genügen kann, muss es regelmäßig gepflegt werden.

Hier sind die Verantwortlichen in der Pflicht, auf die kontinuierliche Pflege des Verzeichnisses zur Verarbeitungstätigkeit zu achten. Es ist ebenso wenig im Interesse des Unternehmens, wie des Gesetzgebers, ein unvollständiges Verzeichnis über die Daten zu haben.

Genauso wie das Qualitätsmanagement oder die Buchhaltung in einem Unternehmen nur bei fortlaufender Pflege Sinn machen, gilt dies genauso für das Verzeichnis für Verfahrenstätigkeiten.

Wenn Daten tatsächlich gelöscht werden sollen, reicht die normale Löschen-Funktion nicht aus. Dann können die „gelöschten“ Dateien unkompliziert wiederhergestellt werden. Um sie tatsächlich löschen, müssen die Daten überschrieben werden, was auch schreddern genannt wird. Hierfür gibt es spezielle Programme, die alles von einzelnen Dateien bis hin zu ganzen Festplatten unwiderruflich löschen können.

Vertrauliche Dokumente datenschutzkonform vernichten

Daten, die auch von technisch unerfahrenen Nutzern wiederhergestellt werden können, sind datenschutzrechtlich natürlich problematisch. Frei verfügbare Programme, die Urlaubsfotos wiederherstellen können, sind ebenso dafür geeignet Dokumente mit personenbezogenen Informationen wiederherzustellen.

Eine Festplatte mit vertraulichen Dokumenten wie Bankinformationen, Sozialversicherungsnummern, medizinische Daten oder auch eine elektronische Unterschrift, sollte sorgfältig geleert werden, bevor sie weiterverwendet oder gar verkauft wird. Diese Daten sind nicht nur viel Geld wert – sie können den betreffenden Personen auch schaden. Es reicht definitiv nicht aus, diese Informationen nur zu löschen, die Daten müssen mit einem speziellen Programm geschreddert werden, um sicherzustellen, dass sie auch tatsächlich nicht illegal weiter verarbeitet werden können.

So werden Daten zuverlässig vernichtet

Die normale „Löschen“ Funktion bei Windows Betriebssysteme löscht die Informationen nicht tatsächlich. Stattdessen entfernt die Funktion lediglich den Verweis auf den Speicherort. Da auf der Festplatte aber die Information noch erhalten ist, kann sie leicht wieder abgerufen werden und der Verweis auf den Speicherort wiederhergestellt werden. Damit die Informationen tatsächlich gelöscht werden, muss nicht nur der Verweis gelöscht werden, sondern auch die Information überschrieben werden. Wenn auf dem physischen Ort der Festplatte neue Informationen hinterlegt werden, können die alten nicht mehr abgerufen werden. Dann ist eine Wiederherstellung unmöglich.

Es gibt drei Möglichkeiten um Daten sicher zu entfernen: Einzelne Dateien schreddern, eine ganze Festplatte schreddern oder freien Speicherplatz schreddern – zum Beispiel um gelöschte Daten im Nachhinein sicher zu löschen.

Einzelne Daten schreddern

Dateien sicher nachhaltig zu löschen ist nicht schwer und auch für Nutzer ohne technische Erfahrung einfach umzusetzen. Alles was es dafür braucht ist ein Freeware Programm wie der OW Shredder, der die Speicherorte der zu löschenden Datei beliebig oft überschreiben kann.

Nach der Installation der Freeware – es gibt tatsächlich viele Alternativen, die auch gut funktionieren – bietet die Oberfläche des Programms die Möglichkeit die zu löschenden Dateien auszuwählen. Außerdem bietet das Menü die Option, wie oft der Speicherort überschrieben werden soll. Dabei gilt, je öfter er mit neuen Informationen überschrieben wurde, desto weniger der ursprünglichen Dateien bleiben erhalten. Der Schredder löscht die Daten und überschreibt den Speicherplatz mit Zufallszahlen.

Eine ganze Festplatte schreddern

Um alle Informationen zuverlässig zu löschen, muss der Datenträger nicht physisch vernichtet werden. Auch hierfür eignen sich Freewareprogramme. Anstatt einzelne Daten auszuwählen, muss hier nur die ganze Festplatte oder eine einzelne Partition ausgewählt werden. Mit einem Klick wird dann der Lösch- und Überschreibungsprozess gestartet.

Sonderfälle: Systempartitionen, Flash und SSD

Mit der oben beschrieben Variante lassen sich Systempartitionen nicht löschen. Systempartitionen sind die Bereiche einer Festplatte, auf der sich das Betriebssystem (zum Beispiel Windows oder Linux) befindet. Wenn der Computer verkauft oder entsorgt werden soll, ist es aber ratsam, auch diese zu schreddern.

Hierfür muss der Computer entweder mit einem Live-System gestartet werden oder mit einem Datenschredder, der das System selbst booten kann.

Bei einem Live-System befindet sich das Betriebssystem, mit dem der Computer gestartet wird, nicht auf der Festplatte, sondern auf einem USB-Stick oder einer DVD. Weil jetzt das Betriebssystem auf der Festplatte nicht mehr benötigt wird, kann die ganze Festplatte des Computers geschreddert werden.

Die andere Möglichkeit ist die Verwendung eines Boot-fähigen Datenschredders wie DBAN – oder Darik’s Boot and Nuke – einem kleinen Programm auf Linux-Basis, dessen einziger Zweck es ist, alle Daten auf einer Festplatte unwiderruflich zu löschen.

Flash und SSD

Flash-Drives und SSD-Festplatte arbeiten mit einem anderen System als herkömmliche Festplatten. Anstatt an bestimmten, physischen Orten Daten zu speichern, legen sie Daten gleichmäßig über den gesamten Speicherplatz verteilt in sogenannten Speicherzellen ab. Daher ist es nicht nachvollziehbar, an welchem Ort eine Information abgespeichert ist. Daher muss immer der gesamte Datenträger überschrieben werden, wenn Datei sicher gelöscht werden soll.

In unserem Beitrag Was enthält das Bundesdatenschutzgesetz (BDSG) – Teil 1 in Verbindung mit der europäischen Datenschutzgrundverordnung (DSGVO) haben wir über allgemeine Änderungen und die neuen Maßgaben für einen Datenschutzbeauftragten (DSB) berichtet. In diesem zweiten Teil möchten wir die Neuerungen für Arbeitgeber und -nehmer sowie für Privatpersonen beleuchten.

Der Datenschutz am Arbeitsplatz

Die europäische Kommission hat mit der DSGVO die Regelung der „Datenverarbeitung im Beschäftigungskontext“ (Art. 88 DSGVO) den Mitgliedsstaaten überlassen. Dementsprechend regelt das BDSG mit § 23 die „Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses“ für Einwilligungen bei der Verwendung personenbezogener Daten.

Arbeitgeber dürfen die personenbezogenen Daten ihrer Beschäftigten verarbeiten, wenn dafür bestimmte Voraussetzungen erfüllt sind. Zum Beispiel dürfen solche Daten durch ein Unternehmen verarbeitet werden, wenn es um die Entscheidung über den Beginn eines Beschäftigungsverhältnisses geht, ob eines beibehalten oder beendet werden soll oder wenn eine Kollektivvereinbarung (eine Betriebsvereinbarung oder ein Tarifvertrag) vorliegt, die die Rechte und Pflichten der Interessensvertretung des Beschäftigten (etwa Betriebsrat oder Gewerkschaft) berührt.

Als Beschäftigter im Sinne des BDSG gelten Arbeitnehmerinnen und Arbeitnehmer, sowie Azubis, Beamte oder Freiwilligendienstleistende. Auch Bewerberinnen und Bewerber und ehemalige Beschäftigte gelten als Arbeitnehmende im Sinne des BDSG.

Können abhängig Beschäftigte überhaupt eine Einwilligung aussprechen?

Im Zusammenhang mit dem alten deutschen Datenschutzgesetz wurde darüber gestritten, ob ein abhängig Beschäftigter tatsächlich freiwillig einer Verarbeitung seiner Daten einwilligen konnte. Schließlich konnte er befürchten, die Anstellung zu verlieren, wenn er die Einwilligung verweigerte.

Mit dem neuen BDSG wurde diese Frage nun geklärt. Eine Freiwilligkeit soll jetzt daran beurteilt werden, ob sich ein rechtlicher oder wirtschaftlicher Vorteil für den Beschäftigten ergibt, oder ob beide Parteien gleiche Interessen verfolgen. Daher ist im Streitfall eine Einzelfallprüfung nötig. Darüber hinaus muss eine Einwilligung der Beschäftigten immer schriftlich vorliegen und der Arbeitgeber muss nachweisen können, seine Beschäftigte über das Widerrufsrecht informiert zu haben.

Datenschutzneuerungen für Privatpersonen

Besonders sensible Daten werden erhoben, wenn es um die Kreditwürdigkeit von Menschen geht. Solche Scoring-Verfahren und Bonitätsauskünfte, wie sie bei Kreditkartenanträgen oder Schufaauskünften eingeholt werden, werden neu geregelt und sollen nicht nur die Daten der Verbraucher schützen, sondern für ein gerechteres Verfahren sorgen.

Bonitätsauskünfte dürfen von nun an nur noch dann verwendet werden, wenn alle Anforderungen, die der Gesetzgeber nun stellt, eingehalten wurden. So werden die Dienstleister selbst in die Pflicht genommen, auf den Datenschutz zu achten.

Bei der Errechnung eines Wahrscheinlichkeitswertes, wie kreditwürdig zum Beispiel ein Bankkunde sein wird, dürfen nicht mehr – wie zuvor üblich – Adressdaten herangezogen werden, sondern Entscheidungen müssen nun anhand eines wissenschaftlich anerkannten, mathematischen Verfahren getroffen werden.

Für die Bonitätsauskünfte dürfen nun auch nur die Forderungen an einen Schuldner herangezogen werden, die der Schuldner auch tatsächlich anerkannt hat oder die unzweifelhaft diesem Schuldner zuzuordnen sind.

Wenn heute ein Kreditinstitut einem Verbraucher ein Darlehen aufgrund von Bonitätsauskünften verwehrt hat, muss es von selbst dem Kunden nicht nur über die Entscheidung informieren, sondern darüber wie diese Entscheidung zustande gekommen ist und über Bonitätsauskunft, auf deren Basis die Entscheidung getroffen worden ist.

Bußgelder und Strafen im BDSG

Zusätzlich zu den Bußgeldern die entsprechend der DSGVO erhoben werden können, enthält auch das BDSG Sanktionen. Da die europäische Kommission keine Strafen erheben kann, obliegt diese Regelung den europäischen Nationalstaaten. Im BDSG regelt die Strafen für Verstöße in § 42.

Jemand, der personenbezogene Daten ohne Berechtigung erworben oder verarbeitet hat, durch falsche Vorgaben erschlichen hat oder die Absicht hatte sich mit diesen Daten zu bereichern oder jemanden zu schädigen, kann mit einem Bußgeld oder einer Freiheitsstrafe von bis zu zwei Jahren bestraft werden. Wenn jemand die Daten einer großen Anzahl von Personen unrechtmäßig verarbeitet, weitergegeben oder veröffentlicht hat, kann mit einem Bußgeld oder sogar mit einer Freiheitsstrafe von bis zu drei Jahren rechnen.

Mit der DSGVO und dem BDSG wurde der Datenschutz in vielen Fällen neu und umfassend geregelt. Es gibt dennoch Aspekte, die das Gesetz noch nicht ganz klar definiert. Daher ist auch jetzt noch mit weiteren Änderungen zu rechnen. Außerdem werden Gerichte in den nächsten Jahren über Fälle entscheiden müssen, in denen das BDSG noch ausgelegt werden muss.

Mit dem überarbeiteten Bundesdatenschutzgesetz (BDSG) folgt die Gesetzgebung der Bundesrepublik den Vorgaben der Datenschutzgrundverordnung der Europäischen Union. Mit dem Gesetz werden mehrere neue Vorschriften zum Datenschutz im Beschäftigungsverhältnis und Öffnungsklauseln gültig. Zum Beispiel müssen Betriebe jetzt je nach Branche einen Datenschutzbeauftragten ernennen.

Warum wurde ein neues Bundesdatenschutzgesetz nötig?

Die europäische Kommission erarbeitete zwischen 2016 und 2018 eine neue Datenschutzgrundverordnung (DSGVO), mit der Absicht, den sich wandelnden Anforderungen an den Datenschutz gerecht zu werden, die sich aus der zunehmenden Digitalisierung der Arbeitswelt und des Privatlebens ergeben.

Da die europäische DSGVO zahlreiche Öffnungsklauseln enthält, um den Regierungen der EU-Mitgliedsstaaten Spielräume bei der Ausgestaltung des DSGVO zu lassen, sind in den Mitgliedsstaaten der EU nationale Gesetze nötig. Mit dem Bundesdatenschutzgesetz (BDSG) trat am 25. Mai 2018 dementsprechend das neue, deutschen Datenschutzgesetz in Kraft.

Wie verhalten sich DSGVO und BDSG zueinander?

Zunächst sind alle Vorschriften des europäischen Datenschutzrechts unmittelbar gültig. Da europäisches Recht immer einen Anwendungsvorrang vor nationalem Recht genießt, regelt das deutschen Datenschutzgesetz nur jene Sachverhalte, die die DSGVO nicht regelt, sondern deren Regelung mit einer Öffnungsklausel den Einzelstaaten vorbehalten bleibt.

In §1 Absatz 5 stellt das BDSG ausdrücklich fest, dass „die Vorschriften dieses Gesetzes (..) keine Anwendung (finden), soweit das Recht der Europäischen Union (…), unmittelbar gilt.“

Durch diesen Satz vermeidet der Gesetzgeber, dass es in Zukunft Konflikte geben könnte, welches Gesetz anzuwenden ist. Ein wichtiger Aspekt, den das BDSG regelt, sind die Strafvorschriften. Während auf europäischer Ebene lediglich Busgeldvorschriften existieren können, regelt der §42 die Strafmaßnahmen. So kann zum Beispiel jeder, der sich personenbezogene Daten unrechtmäßig erwirbt oder verarbeitet mit einer Freiheitsstrafe bis zu zwei Jahren bestraft werden.

Welche neuen Regelungen enthält das BDSG?

Da sich die beiden neuen Gesetze der Europäischen Union und der Bundesrepublik sich gegenseitig ergänzen, konzentrieren wir uns hier auf das deutsche Bundesdatenschutzgesetz. Besonders interessant für Sie sind die Regelungen, die neu für Unternehmen eingeführt sind um die Daten von Arbeitnehmern und Kunden zu schützen.

Der Datenschutzbeauftragte

Der Datenschutzbeauftragte (DSB) kann sowohl intern, als auch extern bestellt werden. Bei einer internen Bestellung muss diese schriftlich erfolgen und der entsprechende Mitarbeiter die entsprechende Qualifikation vorweisen – diese kann der DSB in einer Fortbildung beispielsweise beim TÜV erwerben. Ist eine interne Benennung nicht möglich, können Sie die Dienstleistung eines externen Datenschutzbeauftragten einkaufen.

In Artikel 37 regelt die europäische Verordnung die Bestellung eines Datenschutzbeauftragten in Unternehmen. Ob ein Datenschutzbeauftragter ernannt werden muss, ist abhängig von der Tätigkeit des Unternehmens und seiner Mitarbeiter. Tatsächlich gibt es nur wenige Formen der Datenverarbeitung, die eine Benennung eines Datenschutzbeauftragten im Sinne der DSGVO nötig machen.

Wann müssen Sie einen Datenschutzbeauftragten bestellen?

Die hauptsächlich verarbeiteten Daten des Unternehmens müssen entweder personenbezogene Daten sein, die einer hohen Schutzwürdigkeit unterliegen oder durch ihre besondere Art eine Überwachung erforderlich machen.

Nur in Fällen, in denen Informationen verarbeitet werden, die sehr weit in die Privatsphäre der Betroffenen hineinreichen, muss ein Datenschutzbeauftragter mit einbezogen werden.

Das BDSG konkretisiert diese Bestimmungen. Damit ein DSB nötig wird, müssen mindestens zehn Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sein. Wenn durch die Art der Daten oder der Arbeit des Unternehmens eine Datenschutz-Folgenabschätzung nötig ist, muss ebenfalls ein DSB ernannt werden.

Eine Datenschutz-Folgenabschätzung geht der Frage nach, ob etwa durch die Verwendung neuer Technologien oder dem Umfang der verarbeiteten Daten ein hohes Risiko für die Rechte und Freiheiten von Personen zu erwarten sind.

Außerdem muss ein DSB mit einbezogen werden, wenn das Unternehmen geschäftsmäßig personenbezogene Daten verwendet, um diese für Markt- oder Meinungsforschung zu nutzen.

Die bisherige Vorschrift, dass ein Unternehmen einen DSB ernennen muss, sobald es mehr als 20 Mitarbeiter beschäftigt entfällt nun. Die Regelung ist tatsächlich heute realitätsfremd, da sie sich auf eine nicht-automatisierte Datenverarbeitung bezog, die es so heute de facto nicht mehr gibt. Jede Datenverarbeitung mittels eines Computers gilt als automatisierte Datenverarbeitung, daher gehen wir davon aus, dass diese heute der Regelfall ist.

In unserer Fortsetzung können Sie lesen, welche Folgen das BDSG für Arbeitgeber- und Nehmer sowie Verbraucher und Privatpersonen hat.