• Herangehensweisen an die Verarbeitung personenbezogener Daten nach DSGVO

Herangehensweisen an die Verarbeitung personenbezogener Daten nach DSGVO

21.06.2018

Die DSGVO macht eine neue Herangehensweise an „sensible Daten“ notwendig. Die Neuerungen der DSGVO betreffen u.a. den Umfang von Verpflichtungen und Verantwortlichkeiten hinsichtlich des Schutzes personenbezogener Daten. Verbindlich wird die neue Verordnung für Unternehmen sein sowie für Daten-Controller (auch Datenverantwortliche genannt) und jene, die ihren Anweisungen unterstehen – wie z. B. Anbieter für Cloud-Computing-Dienste. Des Weiteren wird die DSGVO automatisch für Personen und Unternehmen außerhalb der EU gelten, wenn diese ihre Waren oder Dienstleistungen Kunden aus EU-Mitgliedstaaten anbieten. Ist Ihr Unternehmen bereit für die Arbeit in diesem neuen Rechtsumfeld? Sind Ihre Datenverarbeitungssysteme entsprechend angepasst? Wie sind die neuen rechtlichen Bestimmungen auszulegen? Wie sollten Sie bei der Beantwortung von Anfragen durch Stakeholder vorgehen?

 

Die EU-Datenschutz-Grundverordnung (DSGVO) regelt den Schutz natürlicher Personen hinsichtlich der Verarbeitung ihrer persönlichen Daten durch informationstechnologische Systeme. Sie soll die derzeit geltenden Vorschriften ersetzen und somit die Gesetzgebung in allen EU-Mitgliedstaaten vereinheitlichen. Die DSGVO bringt zahlreiche Neuerungen mit sich. So werden die Strafen für Verstöße durch Personen oder Unternehmen, die zum Schutz personenbezogener Daten verpflichtet sind, durch die Grundverordnung radikal reformiert. Gleiches gilt für deren Anwendbarkeit. In unserer Welt der neuen Technologien, die sich rasend schnell weiterentwickelt, reichen die bisherigen Vorschriften nicht mehr aus. Mit den neuen Regeln wird auf diese Problematik reagiert. In den vergangenen Jahren wurden gewaltige technische Fortschritte erzielt. Aufgrund der enormen Ausmaße dieser Veränderungen ist die Verordnung von 1995 mittlerweile veraltet und nicht mehr im Einklang mit der gegenwärtigen Realität. Im digitalen Weltmodell, wo Datenverarbeitung die Norm ist, die Cloud zum Alltag gehört und das IoT unser privates und geschäftliches Leben umspannt, ist der Schutz personenbezogener Daten im weiteren Sinne eine Pflichtsache.

 

Die DSGVO ersetzt die Bezeichnung „sensible Daten“ durch den neuen Begriff „besondere Kategorien personenbezogener Daten“. Laut Artikel 9 umfasst dies:

  • Personenbezogene Daten, die Aufschluss über die ethnische Herkunft geben
  • Politische Meinungen
  • Religiöse oder weltanschauliche Überzeugungen
  • Gewerkschaftszugehörigkeit
  • Biometrische Daten
  • Gesundheitszustand
  • Sexualleben
  • Sexuelle Orientierung


HINWEIS:
Als eine besondere Kategorie personenbezogener Daten unterliegen auch biometrische Daten den folgenden Richtlinien. Dies macht die Implementierung von Systemen, die auf biometrischer Autorisierung basieren, zu einer Herausforderung.

 

EINE NEUE HERANGEHENSWEISE AN „SENSIBLE DATEN“

HINSICHTLICH DER VERARBEITUNG DIESER NEUEN SENSIBLEN DATEN TRETEN MIT DER VERORDNUNG DIE IM FOLGENDEN DARGELEGTEN VORSCHRIFTEN IN KRAFT. DEMNACH DÜRFEN DIE OBEN AUFGEFÜHRTEN DATEN VERARBEITET WERDEN, WENN:

  1. der Verarbeitung der personenbezogenen Daten auf schriftlichem oder elektronischem Weg ausdrücklich zugestimmt wurde (Identität muss bestätigt sein). Eine Person, die der Verarbeitung ihrer personenbezogenen Daten zugestimmt hat, muss detailliert über den genauen Zweck der Datenverarbeitung informiert werden.
  2. die Verarbeitung personenbezogener Daten durch einen Stakeholder (Controller) im Hinblick auf folgende Bereiche gefordert ist:
  3. eine Person aus körperlichen (z. B. Person liegt im Koma) oder rechtlichen Gründen (Person ist minderjährig) nicht in der Lage ist, der Verarbeitung ihrer Daten zuzustimmen, die Verarbeitung jedoch zum Schutz des Lebens oder der Gesundheit der betroffenen Person notwendig ist.
  4. die Datenverarbeitung durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht und auf Grundlage geeigneter Garantien zur Datensicherung und -trennung erfolgt. Dies gilt sowohl für aktuelle als auch für ehemalige Mitglieder der Organisation sowie für Personen, die im Zusammenhang mit dem Tätigkeitszweck regelmäßigen Kontakt zu der Organisation pflegen. Die personenbezogenen Daten dürfen nicht ohne Einwilligung der betroffenen Person weitergegeben werden.
  5. die Datenverarbeitung im Rahmen eines Gerichtsverfahrens erfolgt. Dies gilt für Ermittlungen, Untersuchungen sowie Aufklärung und Verteidigung im Rahmen eines Falls.
  6. die Datenverarbeitung laut Unionsrecht oder dem Recht eines Mitgliedstaates aufgrund eines erheblichen öffentlichen Interesses erforderlich ist. Die entsprechende Vorschrift besagt, dass hierbei das Recht auf Datenschutz gewahrt werden muss und angemessene Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person zu ergreifen sind.
  7. die Datenverarbeitung zu Zwecken der Gesundheitsvorsorge und der Beurteilung der Arbeitsfähigkeit des Arbeitnehmers durch einen Angehörigen eines medizinischen Berufs erforderlich ist. Dies trifft auch zu, wenn die Verarbeitung zu Zwecken der Versorgung oder Behandlung im Gesundheits- oder Sozialbereich gemäß den Bestimmungen des Unionsrechts, des Rechts eines Mitgliedstaates oder auf Grundlage einer Vereinbarung mit einer Gesundheitseinrichtung erfolgt. Weiterhin gilt die Erlaubnis für Systeme von medizinischen Einrichtungen, in denen Angaben zum Gesundheitszustand erfasst werden.
  8. die Datenverarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit wie dem Schutz vor schwerwiegenden internationalen Gesundheitsrisiken oder der Sicherstellung hoher Qualitätsstandards bei der Gesundheitsversorgung, bei Arzneimitteln und bei medizinischen Produkten geschieht. In diesen Fällen muss die Verarbeitung auf Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaates erfolgen, das angemessene und spezifische Maßnahmen zum Schutz der Rechte und Freiheiten der betroffenen Person vorsieht. Natürlich wird hierbei auch die berufliche Schweigepflicht beachtet.
  9. die Verarbeitung im Rahmen der Datenarchivierung zu statistischen, historischen oder wissenschaftlichen Zwecken und auf Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaates erfolgt. Selbstverständlich müssen die Daten unter Wahrung des Rechts auf Datenschutz sowie der Grundrechte und Interessen der betroffenen Person verarbeitet werden.

■ Arbeitsrecht – Bestätigung personenbezogener Daten, beispielsweise Überprüfung der Bankkontodaten und des Urlaubsanspruchs, sowie generell alle Personalbelange, die zur Etablierung und Aufrechterhaltung eines funktionierenden Arbeitsverhältnisses notwendig sind. Der Arbeitnehmer kann dem Arbeitgeber gegenüber nicht anonym bleiben.
■ Recht der sozialen Sicherheit und Sozialschutz – in diesem Fall müssen den öffentlichen Behörden personenbezogene Daten zur Verfügung gestellt werden, da die betroffene Person sonst weder krankenversichert werden könnte, noch in der Lage wäre, das Recht auf kostenlose Rechtsberatung und andere Arbeitnehmerprivilegien in Anspruch zu nehmen.

AUSSERDEM:
EU-Mitgliedstaaten sind berechtigt, zusätzliche Bedingungen zur Datenverarbeitung aufzustellen, die durchaus auch strenger ausfallen können.
Gelockert werden dürfen sie jedoch nicht.


WIE SOLLTE MAN SICH ALS GESCHÄFTSINHABER VERHALTEN, WENN INFORMATIONEN ZU STAKEHOLDER-DATEN ANGEFRAGT WERDEN?
Laut Kapitel III, Artikel 12 „Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person“ ist ein Geschäftsinhaber, der gleichzeitig Daten-Controller ist, dem Stakeholder gegenüber dazu verpflichtet, dessen Anfrage gemäß den folgenden Kriterien zu beantworten:

  • Präzise (das Thema muss ohne überflüssige Ausschmückungen dargelegt werden)
  • Transparent (der Inhalt muss klar verständlich sein)
  • Verständlich (in der Muttersprache, mit einem Glossar zur Erläuterung von Fachausdrücken)
  • In leicht zugänglicher Form, die dem intellektuellen Niveau des Lesers angemessen ist (beispielsweise bei der Beantwortung von Anfragen durch Kinder sowie körperlich oder geistig behinderte Personen). Es muss auf alle in der Anfrage gestellten Fragen eingegangen werden und die Auskunft muss auf schriftlichem oder im Einzelfall auf elektronischem Weg erteilt werden

Wichtig!
Der Stakeholder muss seine Identität nachweisen. Tut er dies nicht, darf der Controller keine Auskunft erteilen.
Ziel der DSGVO ist es, hinsichtlich der Vorschriften zur Datenverarbeitung für mehr Transparenz zu sorgen.


Mehr über das Verhalten des Controlers in ausgewählten Szenarien und die Rechte des Dateneigentümers finden Sie im aktuellen Whitepaper

Als Grundlage für die Verfassung dieses Artikels diente die Verordnung des Europäischen Parlaments zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.

Die Produkte von Comarch sind DSGVO-konform. Mehr über die DSGVO-konformen ICT-Dienstleistungen im Comarch data Center erfahren Sie hier:
https://www.comarch.de/produkte/ict/

Mehr über das DSGVO-konforme Comarch ERP und Anwendungsszenarien finden Sie hier:
https://www.comarch.de/produkte/erp/erp-dsgvo

Bitte beachten Sie dass diese Nachricht keine Rechtsberatung darstellt und die Einholung einer Rechtsberatung nicht ersetzen kann.