Ziele und Geltungsbereich
Die Datenschutzgrundverordnung (kurz DSGVO) ist ein von der EU erlassener Gesetzeskatalog. Darin sind Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten enthalten (siehe Art. 1 Abs. 1 DSGVO). Die DSGVO trat am 25. Mai 2018 in Kraft und ersetzt einzelne nationale Regelungen der Mitgliedsstaaten durch europaweit gültiges Recht. Die DSGVO regelt vornehmlich technische Standards oder Marktregeln. Ein Novum ist die erhebliche Grundrechtsbindung der Normen. Die DSGVO ist eines der ersten Gesetze, die die Durchsetzung von Grundrechten regelt. Denn mit Datenschutz ist nicht der Schutz von Daten, sondern der Schutz der dahinter stehenden Persönlichkeit gemeint (man könnte also auch vom „Persönlichkeitsschutzgesetz“ sprechen).
Verarbeitung personenbezogener Daten
In Art. 5 DSGVO sind die Grundsätze zur Verarbeitung personenbezogener Daten geregelt. Grundsätzlich ist die Einwilligung des Betroffenen erforderlich. Die Datenerhebung muss transparent erfolgen, das heißt es darf keine verborgene Technik genutzt werden, zum Beispiel die heimliche Überwachung mit Videokameras. Um das Transparenzgebot zu erfüllen, wäre hier ein deutliches Hinweisschild erforderlich. Durch Betreten des Überwachungsbereichs erklärt sich der Betroffene dann durch sein Verhalten mit der Erhebung von Videodaten einverstanden. Am Arbeitsplatz muss die Videoüberwachung nach Art. 5 DSGVO an einen sinnvollen Zweck geknüpft sein. Zu nennen wären die Abwehr und Aufklärung von Straftaten. Bei einer Aufzeichnung, die lediglich der Leistungskontrolle der Angestellten dient, ist der Zweckbindungsgrundsatz verletzt. Es dürfen außerdem nur so wenige Daten wie nötig erhoben werden (Prinzip der Datenminimierung. Der Verwender muss sämtliche in Betracht kommende Möglichkeiten der Pseudonymisierung und Anonymisierung ausschöpfen.
Sicherheit personenbezogener Daten
Die Datensicherheit ist Gegenstand der Art. 32ff. DSGVO. Der Verantwortliche und der Auftragsverarbeiter müssen geeignete technische und organisatorische Maßnahmen treffen. Dazu zählen:
- die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
- die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
- die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
- ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Vertiefende Informationen finden Sie hier:
https://marktplatz-sicherheit.de/portfolio/neue-datenschutzgrundverordnung-worauf-muss-ich-achten/