Aller Anfang ist schwer: Einige Redewendungen erinnern mich an meine Zeit als frisch beauftragter Datenschützer. Ich „verstand immer nur Bahnhof“ oder „stand auf der Leitung“. Zwischenzeitlich bin ich aber zu der Erkenntnis gelangt, dass ich den Wald vor lauter Bäumen nicht sah. Zugegeben, dieser Erkenntnisgewinn dauerte bei mir sehr, sehr lange.
Aufbau eines Datenschutzmanagementsystems: Wie werde Ich Sie unterstützen?
In diesem und den folgenden Blogbeiträgen möchte ich Ihnen dabei helfen, diese Erkenntnis weit schneller zu erlangen. Denn, wenn jemand „den Wald vor lauter Bäumen“ nicht sieht, dann bemerkt er etwas vollkommen Offensichtliches nicht oder erkennt die nächstliegende Lösung seines Problems vor lauter Auswahlmöglichkeiten nicht. Es geht also darum, Sachverhalte zu erkennen und einzuordnen, sie letztlich zu organisieren.
Reduzieren Sie sich auf das Wesentliche!
Das „Datenschutz” ein wichtiger Aspekt im digitalen Zeitalter sei, dass haben Sie bereits gehört, also beschäftigen wir uns hier nur mit dem Wesentlichen: Was verlangt der Gesetzgeber? Denn dieses Verlangen zu erfüllen, wird Ihre zukünftige Aufgabe im Datenschutz sein!
Zentrale Norm hierfür ist Artikel 5 der Datenschutzgrundverordnung.
Wir beginnen ganz von vorn: Artikel 5 DSGVO
Fangen wir also an:
Aus Artikel 5 DSGVO ergeben sich die Grundsätze für die Verarbeitung personenbezogener Daten. Diese Norm bildet die Grundlage Ihrer zukünftigen Bemühungen im Bereich des Datenschutzes innerhalb Ihrer Organisation.
Nach Artikel 5 DSGVO müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.
Das hört sich komplizierter an, als es tatsächlich ist. Es bedeutet nichts anderes, als dass Sie die Verarbeitung personenbezogener Daten – also beispielsweise die erstmalige Erhebung der Daten – auf eine sogenannte Erlaubnisgrundlage stützen können müssen. Soweit eine solche Erlaubnisgrundlage nicht gegeben ist, dürfen Sie auch keine Daten von Menschen verarbeiten!
Es ist also wichtig erkennen zu können, ob eine Verarbeitung von Daten rechtmäßig erfolgt. Rechtmäßig erfolgt sie immer dann, wenn eine Verarbeitung auf eine Erlaubnisgrundlage gestützt werden kann.
Diese Erlaubnisgrundlagen sind im Wesentlichen in Artikel 6 Absatz 1 DSGVO bestimmt.
Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten, der Gesetzgeber erlaubt eine solche Verarbeitung aber dann, wenn sich die für die Datenverarbeitung verantwortliche Stelle auf einen sogenannten Erlaubnistatbestand berufen kann.
Im Wesentlichen kommen folgende Erlaubnistatbestände in Betracht:
Artikel 6 Abs. 1 lit. a) DSGVO: Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben.
Artikel 6 Abs. 1 lit. b) DSGVO: Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen.
Artikel 6 Abs. 1 lit. c) DSGVO: Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt.
Artikel 6 Abs. 1 lit. d) DSGVO: Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
Artikel 6 Abs. 1 lit. e) DSGVO: Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
Artikel 6 Abs. 1 lit. f) DSGVO: Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.
Fassen wir zusammen
Ihre Kernaufgabe im Datenschutz wird darin bestehen, zu prüfen, ob eine Datenverarbeitung auf rechtmäßige Weise und innerhalb der zuvor festgelegten Zwecke erfolgt. Daneben müssen die Daten für die betroffene Person in einer für sie nachvollziehbaren Weise verarbeitet werden. Der von der Datenverarbeitung Betroffene muss also darüber informiert werden, welche Daten zu welchem Zweck und für welche Dauer über ihn verarbeitet werden. Dies ist der Grundsatz der Transparenz.
Unsere Seminarempfehlung
Rechtssicheres Datenschutzmanagement mit System
In diesem Seminar erhalten Sie eine Komplettlösung, mit der SIe die Module Ihres Risk-Managements ergänzen können und die gegenüber Aufsichtsbehörden als überprüfbarer Nachweis über die Erfüllung Ihrer gesetzlichen Pflichten dient. Mit diesem DSMS gelingt die gesicherte Implementierung auch für die individuellen Anforderungen Ihres Unternehmens zur Vermeidung erheblicher Haftungsrisiken.
Seminar: Rechtssicheres Datenschutzmanagement mit System