Die Hauptaufgabe des Datenschutzes ist es, den Einzelnen davor zu schützen, dass er durch die Verarbeitung personenbezogener Daten in unzulässiger Weise in seinem Recht beeinträchtigt wird und selbst über die Preisgabe und Verwendung seiner Daten bestimmen kann (informationelles Selbstbestimmungsrecht). Ein wesentlicher Grundsatz ist dabei, dass die Verarbeitung auf den erforderlichen Umfang beschränkt werden muss und dass Daten grundsätzlich nur für die Zwecke verarbeitet werden dürfen, für die sie erhoben wurden.
Einer der wesentlichen Kernbereiche des Datenschutz ist die sogenannte Datensparsamkeit. Es sollen so wenig personenbezogene Daten verarbeitet werden wie möglich, um das Recht auf informationelle Selbstbestimmung der Bürger zu schützen.
Öffentliche Stellen, die personenbezogene Daten verarbeiten, haben einen internen Beauftragten für den Datenschutz sowie einen Vertreter förmlich zu bestellen. Es können auch mehrere Beauftragte bestellt werden. Unternehmen und öffentliche Einrichtungen und Verwaltungen mit mehr als neun Mitarbeitern, die computergestützt mit personenbezogenen Daten arbeiten, benötigen gemäß § 4f BDSG einen internen oder externen Datenschutzbeauftragten.
Der Datenschutzbeauftragte unterstützt die Geschäftsleitung bei der Umsetzung des innerbetrieblichen Datenschutzes und schützt das Unternehmen so vor Datenschutzskandalen und kontrolliert die Einhaltung der Datenschutz-Maßnahmen.
Die Sicherstellung des Datenschutzes erfolgt über
- technische und organisatorische Maßnahmen
- Erstellung und Dokumentation eines Sicherheitskonzeptes
- Erstellung und Führung von Verfahrensverzeichnissen
- Durchführung von Kontrollen
- Bestellung eines DSB und Stellvertreters
Ein Verstoß gegen das Bundesdatenschutzgesetz (BDSG) kann mit Bußgeld oder Freiheitsstrafe zur Verantwortung geahndet werden. Die Rechtsgrundlage dabei bildet § 43 BDSG (Bußgeldvorschriften), § 44 BDSG (Strafvorschriften). Zu den Verstößen zählen unter anderem:
- Nicht-Bestellung eines Datenschutzbeauftragten
- Nicht-Einhaltung der Vorschriften zur Auftragsdatenverarbeitung
- Zuwiderhandlung gegen Anordnungen der Datenschutz-Aufsichtsbehörde.
- unbefugte Erhebung und Verarbeiten von personenbezogenen Daten, die nicht allgemein zugänglich sind
- Verwendung von Daten für Werbezwecke oder den Adresshandel
- Verstoß gegen die Informationspflicht nach § 42a BDSG im Fall einer Datenpanne
Das Bußgeld richtet sich dabei gegen denjenigen der seine Pflicht verletzt hat. Voraussetzung für einen Straftatbestand ist, dass mit Vorsatz gehandelt wurde. Neben dem BDSG gelten auch andere Gesetze, die für den Datenschutz relevant sind wie das Telemediengesetz, Urhebergesetz, Patenrecht, Informationsfreiheitsgesetz.
Seit dem 14. Oktober 2019 gibt es dazu ein einheitliches deutsches Bußgeldkonzept gegen Datenschutzverstöße, das von der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vorgestellt wurde. Mit dem Bußgeldkonzept sollen einheitlich Datenschutzverstöße geahndet werden.
Bußgelder von bis zu einer Höhe von 20 Millionen Euro sind nach der EU-DSGVO möglich. Nach dem Bußgeldkonzept richtet sich die Höhe des Bußgeldes nach
- nach der Größenklasse des Unternehmens,
- dem mittleren Jahresumsatz innerhalb der Größenklassengruppe,
- wirtschaftlichen Grundwert
- Schwere der Datenschutzverletzung
Das deutsche Bußgeldkonzept für Datenschutzverstöße finden sie hier:
https://www.datenschutzkonferenz-online.de/media/ah/20191016_bußgeldkonzept.pdf
Das Datenschutzrecht – und damit auch verbunden die Regelung des Umgangs mit personenbezogenen Daten – ist derzeit in den Mitgliedsstaaten der EU noch unterschiedlich ausgeprägt. Mit der am 14.04.2016 durch das EU-Parlament verabschiedeten EU-Datenschutz-Grundverordnung (EU DS-GVO) wird sich dies in weiten Teilen ändern. Mit der EU-Datenschutz-Grundverordnung wird das Datenschutzrecht in der EU vereinheitlicht und ab Mai 2018 unmittelbar in allen 28 Mitgliedsstaaten gelten. Das Bundesdatenschutzgesetz (BDSG) wird dann voraussichtlich nur noch die Bereiche regeln, in denen der EU-Gesetzgeber den Mitgliedsländern einen Regelungsspielraum gibt.
Bereits jetzt sind Unternehmen datenschutzrechtlich verpflichtet, Betroffene über den Inhalt und Umfang der Verarbeitung ihrer personenbezogenen Daten umfassend und transparent zu informieren. Diese Transparenzpflichten werden mit der EU DS-GVO erheblich ausgeweitet. Unternehmen werden dann konkrete Fristen auferlegt, in der Auskünfte zu erteilen sind. Es müssen Dokumentationen vorliegen, die verständlich und umfassend beschreiben, was Unternehmen mit den personenbezogenen Daten machen, wie die jeweiligen Einwilligungen eingeholt und auch widerrufen werden können und die Verpflichtung zur Löschung der Daten besteht. Unternehmen müssen zukünftig nachweislich dokumentieren, was sie zum Schutz der personenbezogenen Daten unternehmen und ob diese Dokumentation regelmäßig überprüft wird. Unternehmen müssen dann zukünftig die personenbezogenen Daten dem Betroffenen auf Anfrage in einer strukturierten, gängigen und maschinenlesbaren Form bereitzustellen.
MUSTER-FORMULARE
Formular Einwilligung zur Veröffentlichung von Fotos
Bitte treffen Sie eine Auswahl zu weiteren Themen:
Datenschutzbeauftragte – Aufgaben, Rechte und Pflichten
Datenschutz-Folgeabschätzung / Risikoanalyse
Datenschutzkonzeption Kindertagesstätten
Datenschutzkonzeption Feuerwehr
Digitale Gremienarbeit / Livestreams von Sitzungen
EU-Datenschutzgrundverordnung (EU DS-GVO)
Hackangriffe auf öffentliche Kommunen und Verwaltungen
Interessenskonflikt Datenschutzbeauftragter / Trennung IT Administrator
Nutzung privater Geräte und Datenschutz
Technisch organisatorische Maßnahmen (TOM)
Verwahrung von Datensicherungen an fremden Orten
Verzeichnis von Verarbeitungstätigkeiten
wenn ein Mitarbeiter das Unternehmen verlässt