Sie sind hier
E-Book

Die Datenschutz-Grundverordnung (DSGVO)

Ein Leitfaden für die Anwaltskanzlei mit Checklisten

AutorChristiane Tischer
VerlagRichard Boorberg Verlag GmbH & Co KG
Erscheinungsjahr2018
Seitenanzahl160 Seiten
ISBN9783415063105
FormatePUB
KopierschutzWasserzeichen
GerätePC/MAC/eReader/Tablet
Preis31,99 EUR
Verständliche Darstellung Die Autorin, erfahrene Anwältin und Expertin für Datenschutzrecht, wendet sich mit diesem Leitfaden direkt an die kleine und mittelgroße Anwaltskanzlei. In verständlicher Sprache schildert sie die Herausforderungen, die durch die DSGVO auf jede Kanzlei zukommen, und gibt dem Leser Lösungen an die Hand. Hilft Bußgelder zu vermeiden Schritt für Schritt zeigt sie auf, wie Kanzleien vermeiden können, dass sie schlimmstenfalls hohe Bußgelder zahlen müssen, und wie sie dabei ihre Kanzleiorganisation optimieren können. Betroffenenrechte und Informationspflichten Zunächst werden die Neuerungen und Begrifflichkeiten im neuen Datenschutzrecht erklärt. Anschließend erarbeitet die Autorin schrittweise das 'Projekt DSGVO-Umsetzung'. Sie stellt einerseits die kritischen Punkte dar, insbesondere Betroffenenrechte und Informationspflichten, und andererseits beschreibt sie, wie ein funktionierendes Datenschutz-Management-System aussehen kann. Konsequent kanzleiorientiert Dabei verliert dieser Praxisleitfaden nie die besonderen Umstände und Erfordernisse in Anwaltskanzleien aus dem Auge. Relevante Risiken werden ausführlich besprochen, gesetzliche Neuerungen, die Anwälte nicht betreffen, lediglich angerissen. Die Vorschläge zu Organisation und Strukturierung beziehen sich konkret auf die in Kanzleien vorzufindenden Abläufe. Hilfreiche Checklisten Ergänzt werden die Ausführungen durch Checklisten, die die Umsetzung der Maßnahmen sowie deren Dokumentation erleichtern.

Dr. Christiane Tischer Rechtsanwältin, Fachanwältin für Arbeitsrecht Stuttgart

Kaufen Sie hier:

Horizontale Tabs

Leseprobe

II. Begriffe der DSGVO


In jedem Rechtsgebiet gibt es wichtige Begriffe, das ist im Datenschutzrecht und auch im konkreten Fall der DSGVO nicht anders. Die Begriffe sind etwas anders als im BDSG und auch eigenständig, also vor dem Hintergrund der DSGVO, auszulegen. Was ähnlich heißt, muss nicht dasselbe sein. Die wichtigste Definitionsnorm der DSGVO ist Art. 4. Insgesamt gibt es in der DSGVO 26 legaldefinierte Begriffe. Die wichtigsten sind:

1. „Personenbezogene Daten“


Die „personenbezogenen Daten“ sind in der DSGVO neu definiert, dieser Begriff ist weiter als der bisher im deutschen Datenschutzrecht verwendete. Personenbezogene Daten sind ausweislich Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

Das gilt – und dies ist insbesondere für die Anwaltswebsite interessant – auch für im Internet zugängliche Daten, die einer Online-Kennung zuordnungsfähig sind und die man nicht immer auf den ersten Blick als personenbezogene Daten erkennt, wie z. B. IP-Adressen und Cookie-Kennungen (Erwägungsgrund 30 DSGVO). IP-Adressen waren auch bereits nach BDSG-alt personenbezogene Daten (BGH, Urteil vom 15. Mai 2017 – VI ZR 135/13).

Immer dann, wenn man die Daten also einem Menschen zuordnen kann – auch wenn dies nur indirekt aufgrund verschiedener Identifizierungsmerkmale möglich ist – liegen personenbezogene Daten vor.

Das bedeutet auch: Es gilt ein absoluter Personenbezugsbegriff. Es ist egal, ob ich bzw. ein Mitarbeiter meiner Kanzlei einen Personenbezug herstellen kann oder ob dies ein Dritter kann – wichtig ist nur, ob dieser Bezug objektiv herstellbar ist.

In Erwägungsgrund 26 gibt es hier weitere Informationen: „Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Wissen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren“.

Für anonymisierte Daten gelten die Grundsätze des Datenschutzes nicht: Diese beziehen sich schließlich nicht auf einen identifizierten oder identifizierbaren Menschen (Erwägungsgrund 26 Satz 5 und 6 DSGVO). Bei der Verarbeitung von pseudonymisierten Daten gilt: Diese ist gemäß Art. 4 Nr. 5 DSGVO definiert als die Verarbeitung personenbezogener Daten in der Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden. Also: Statt Namen gibt es ein Pseudonym, und das soll auch nicht wieder aufgelöst werden. Pseudonymisierte Daten sind selbstverständlich aus Sicht des Datenschutzes, wann immer dies umsetzbar ist, personenbezogenen Daten vorzuziehen, da hier die Risiken für die Betroffenen deutlich geringer sind. Deshalb lässt es die DSGVO auch zu, dass Pseudonymisierung bei einem Verantwortlichen für einen bestimmten Zweck dadurch möglich ist, dass zwar theoretisch eine Auflösung der Pseudonymisierung möglich ist, aber Daten durch geeignete Maßnahmen getrennt werden (Erwägungsgrund 29). Die Daten sind also z. B. getrennt gespeichert und es ist durch verbindliche organisatorische Regeln sichergestellt, dass sie nicht genutzt werden, um ein Pseudonym zu identifizieren. Dennoch bleiben es personenbezogene Daten, wenn das Pyseudonym durch irgendjemanden auflösbar ist.

Besonders für Kollegen, die im Erbrecht tätig sind, interessant: Daten Verstorbener sind keine personenbezogenen Daten im Sinne der DSGVO. Das ist zwar in der Legaldefinition nicht erwähnt, ergibt sich jedoch aus Erwägungsgrund 27. Das schließt aber nicht aus, dass es anderweitige Rechtsnormen zum Persönlichkeitsschutz auch über den Tod hinaus gibt.

Die DSGVO schützt nur natürliche Personen, also Menschen. Unternehmensdaten sind nicht umfasst (Erwägungsgrund 14). In einigen EU-Staaten war (und ist) dies anders: dort gibt es auch ein Unternehmenspersönlichkeitsrecht und auch einen Datenschutz für Unternehmensdaten. Die DSGVO lässt zu, dass dies auch in Zukunft so ist. In Deutschland war und ist die Rechtslage jedoch so, dass die Beschränkung auf natürliche Personen gilt.

2. „Betroffene Person“


Dieser Begriff ersetzt den bisherigen Begriff des „Betroffenen“. Es handelt sich um die identifizierbare oder identifizierte natürliche Person (Art. 4 Nr. 1 DSGVO), auf die sich die Daten beziehen.

3. „Besondere Kategorien personenbezogener Daten“ gemäß Art. 9 DSGVO


In Art. 9 DSGVO sind „besondere Kategorien personenbezogener Daten“ definiert. Dies sind personenbezogene Daten, die ihrem Wesen nach hinsichtlich der Grundrechte und Grundfreiheiten besonders sensibel sind, weil aus ihnen Folgendes hervorgeht:

  • rassische und ethnische Herkunft,
  • politische Meinungen,
  • religiöse oder weltanschauliche Überzeugungen,
  • Gewerkschaftszugehörigkeit.

Erfasst ist auch die Verarbeitung von

  • genetischen Daten,
  • biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person,
  • Gesundheitsdaten,
  • Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

Auch die besonderen Kategorien personenbezogener Daten kommen einem im Datenschutzrecht tätigen Anwalt bekannt vor – dies gab es bereits in § 3 Abs. 9 BDSG. Viel hat sich an dieser Stelle nicht geändert: Die Definition ist lediglich um genetische Angaben sowie biometrische Daten zur eindeutigen Identifizierung einer Person ergänzt worden. Während Fingerabdrücke, bspw. als Erkennungsmerkmal, oder Iriserkennung sicher sowohl technisch als auch datenschutzrechtlich eine spannende Aufgabe und Thematik sind, dürften derartige Daten in der Rechtsanwaltskanzlei eher selten vorkommen.

Sind auch Fotos, etwa von Mitarbeiterinnen und Mitarbeitern (für die Homepage z. B.) derartige besonders sensible Daten? Nicht immer. Erwägungsgrund 51 meint dazu: „Die Verarbeitung von Lichtbildern sollte nicht grundsätzlich als Verarbeitung besonderer Kategorien von personenbezogenen Daten angesehen werden, da Lichtbilder nur dann von der Definition des Begriffs ,biometrische Daten‘ erfasst werden, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen.

Wofür ist die Einordnung von Daten als besondere Kategorie wichtig? Für die Anforderungen an die Rechtmäßigkeit der Datennutzung.

Für diese Datenkategorie gilt ein besonderer Schutz. Das bedeutet: Grundsätzliches Verbot der Verarbeitung mit nur wenigen Ausnahmen. Wann derartige Daten genutzt werden dürfen, ist in Art. 9 Abs. 2 a bis j DSGVO festgelegt. Da ist natürlich der Fall der Einwilligung, aber es gibt auch einige gesetzliche Rechtfertigungsmöglichkeiten. Bei der Einwilligung ist jedoch besonders zu beachten, dass die Angelegenheit aufgrund der hohen Schutzbedürftigkeit der Daten kritisch ist. Auch muss gemäß Erwägungsgrund 51 die Verarbeitung dieser Daten in der Einwilligungserklärung ausdrücklich vorgesehen werden, darüber hinaus gelten auch die weiteren Voraussetzungen einer wirksamen Einwilligung (s. dazu Abschnitte II. 6 und V. 1 a). Es ist damit zu rechnen, dass deshalb der europäische oder deutsche Gesetzgeber tätig wird und weitere Voraussetzungen definiert, wann eingewilligt werden darf.

Auch für die automatisierte Entscheidungsfindung gibt es bei dieser Datenkategorie strenge Einschränkungen (Art. 22 Abs. 4 DSGVO). Eine ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhende Entscheidung, die einer Person gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, darf nur unter ganz strengen Voraussetzungen auf den besonderen Kategorien personenbezogener Daten beruhen. Werden derartig schutzbedürftige Daten in hohem Umfang verarbeitet, muss immer, egal wie groß das Unternehmen ist, ein Datenschutzbeauftragter bestellt werden (Art. 37 Abs. 1 c DSGVO), und eine Datenschutz-Folgenabschätzung (dazu Abschnitt IX. 1) ist fällig (Art. 35 Abs. 3 DSGVO). Auch muss dann ein Verzeichnis der Verarbeitungstätigkeiten geführt werden.

Als Berufsgeheimnisträger dürfen Anwälte gemäß Art. 9 Abs. 2 h in Verbindung mit Abs. 3 besondere Datenkategorien verarbeiten. Dennoch ist darauf zu achten, dass die Datenkategorien im Verarbeitungsverzeichnis gesondert ausgewiesen...

Blick ins Buch

Weitere E-Books zum Thema: Öffentliches Recht - Staatsrecht

Kultur des Eigentums

E-Book Kultur des Eigentums
Format: PDF

Der dritte Band der Reihe 'Bibliothek des Eigentums' regt dazu an, über das Grundthema Eigentum nachzudenken: seine Versprechungen und Gefährdungen. Die Kultur des Eigentums hat vielerlei…

Kultur des Eigentums

E-Book Kultur des Eigentums
Format: PDF

Der dritte Band der Reihe 'Bibliothek des Eigentums' regt dazu an, über das Grundthema Eigentum nachzudenken: seine Versprechungen und Gefährdungen. Die Kultur des Eigentums hat vielerlei…

Emissionshandelsrecht

E-Book Emissionshandelsrecht
Kommentar zum TEHG und ZuG Format: PDF

TEHG und ZuG in einem Band! Der Kommentar enthält eine aktuelle und praxisnahe Erläuterung der Bestimmungen des Treibhausgas-Emissionshandelsgesetzes (TEHG) und des Gesetzes über den nationalen…

Emissionshandelsrecht

E-Book Emissionshandelsrecht
Kommentar zum TEHG und ZuG Format: PDF

TEHG und ZuG in einem Band! Der Kommentar enthält eine aktuelle und praxisnahe Erläuterung der Bestimmungen des Treibhausgas-Emissionshandelsgesetzes (TEHG) und des Gesetzes über den nationalen…

Emissionshandelsrecht

E-Book Emissionshandelsrecht
Kommentar zum TEHG und ZuG Format: PDF

TEHG und ZuG in einem Band! Der Kommentar enthält eine aktuelle und praxisnahe Erläuterung der Bestimmungen des Treibhausgas-Emissionshandelsgesetzes (TEHG) und des Gesetzes über den nationalen…

Emissionshandelsrecht

E-Book Emissionshandelsrecht
Kommentar zum TEHG und ZuG Format: PDF

TEHG und ZuG in einem Band! Der Kommentar enthält eine aktuelle und praxisnahe Erläuterung der Bestimmungen des Treibhausgas-Emissionshandelsgesetzes (TEHG) und des Gesetzes über den nationalen…

Handbuch IT in der Verwaltung

E-Book Handbuch IT in der Verwaltung
Format: PDF

Wenn heute über 'Informationstechnik in der öffentlichen Verwaltung' geschr- ben oder geredet wird, geschieht dies meist im Kontext von 'Electronic Gove- ment', wobei diese Thematik dann auch noch…

Handbuch IT in der Verwaltung

E-Book Handbuch IT in der Verwaltung
Format: PDF

Wenn heute über 'Informationstechnik in der öffentlichen Verwaltung' geschr- ben oder geredet wird, geschieht dies meist im Kontext von 'Electronic Gove- ment', wobei diese Thematik dann auch noch…

Handbuch IT in der Verwaltung

E-Book Handbuch IT in der Verwaltung
Format: PDF

Wenn heute über 'Informationstechnik in der öffentlichen Verwaltung' geschr- ben oder geredet wird, geschieht dies meist im Kontext von 'Electronic Gove- ment', wobei diese Thematik dann auch noch…

Handbuch IT in der Verwaltung

E-Book Handbuch IT in der Verwaltung
Format: PDF

Wenn heute über 'Informationstechnik in der öffentlichen Verwaltung' geschr- ben oder geredet wird, geschieht dies meist im Kontext von 'Electronic Gove- ment', wobei diese Thematik dann auch noch…

Weitere Zeitschriften

Das Grundeigentum

Das Grundeigentum

Das Grundeigentum - Zeitschrift für die gesamte Grundstücks-, Haus- und Wohnungswirtschaft. Für jeden, der sich gründlich und aktuell informieren will. Zu allen Fragen rund um die Immobilie. Mit ...

Deutsche Hockey Zeitung

Deutsche Hockey Zeitung

Informiert über das nationale und internationale Hockey. Die Deutsche Hockeyzeitung ist Ihr kompetenter Partner für Ihren Auftritt im Hockeymarkt. Sie ist die einzige bundesweite Hockeyzeitung ...

DGIP-intern

DGIP-intern

Mitteilungen der Deutschen Gesellschaft für Individualpsychologie e.V. (DGIP) für ihre Mitglieder Die Mitglieder der DGIP erhalten viermal jährlich das Mitteilungsblatt „DGIP-intern“ ...

Die Versicherungspraxis

Die Versicherungspraxis

Behandlung versicherungsrelevanter Themen. Erfahren Sie mehr über den DVS. Der DVS Deutscher Versicherungs-Schutzverband e.V, Bonn, ist der Interessenvertreter der versicherungsnehmenden Wirtschaft. ...

rfe-Elektrohändler

rfe-Elektrohändler

rfe-Elektrohändler ist die Fachzeitschrift für die CE- und Hausgeräte-Branche. Wichtige Themen sind: Aktuelle Entwicklungen in beiden Branchen, Waren- und Verkaufskunde, Reportagen über ...