Читать книгу Unterrichtungsverfahren im Bewachungsgewerbe - Ulrich Jochmann - Страница 34
Оглавление3 Bewachungsspezifische Aspekte des Datenschutzes
Vorbemerkung
1. Das für Wachpersonen relevante Datenschutzrecht ist durch die Neufassung des Datenschutzrechts zum 25. Mai 2018 in der Datenschutzgrundverordnung (DSGVO) und im Bundesdatenschutzgesetz (BDSG) geregelt. Dabei ergänzt das BDSG an einigen Stellen die Regelungen der DSGVO. Daneben gibt es noch Datenschutzgesetze der einzelnen Bundesländer.
2. Eine weitere datenschutzrechtliche Vorschrift ist § 17 Abs. 3 BewachV (siehe dort).
3.1 Grundsätzliches und Begriffsbestimmungen
Laut Art. 1 DSGVO sollen die datenschutzrechtlichen Bestimmungen den Einzelnen davor schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird, da jeder das Recht auf informationelle Selbstbestimmung hat (im Rahmen der freien Entfaltung seiner Persönlichkeit gemäß Art. 2 Abs. 1 GG).
Beispiel
Ein Verstoß läge beispielsweise vor, wenn ein Hausarzt, der einen Arbeitnehmer behandelt, ohne Wissen des Patienten Informationen über dessen Gesundheitszustand an den Arbeitgeber weitergibt.
Der Schutz gilt aber nicht nur für den einzelnen Bürger (sog. natürliche Person), sondern auch für Unternehmen, Vereinigungen etc. (sog. juristische Person). Zu beachten ist dabei, dass sowohl „öffentliche Stellen“ (staatliche Stellen wie Behörden, Gerichte und Ämter) als auch „nicht-öffentliche Stellen“ (natürliche Personen und juristische Personen wie private Unternehmen, also auch Sicherheitsunternehmen und deren Kunden) zur Einhaltung der datenschutzrechtlichen Bestimmungen verpflichtet sind.
Art. 4 DSGVO definiert Begriffe, die im Datenschutzrecht vorkommen:
a) Personenbezogene Daten sind demnach Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Darunter fallen Daten wie Name, Vorname, Geburtsname, Geburtsdatum, Geburtsort, Krankendaten etc. Durch die DSGVO werden auch Daten wie physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität einer natürlichen Person geschützt.
b) Dateisysteme sind alle strukturierten Sammlungen von personenbezogenen Daten.
c) Verarbeitung bezeichnet jeden (mit oder ohne Hilfe automatisierter Verfahren) Vorgang im Zusammenhang mit personenbezogenen Daten. Zu nennen sind u. a. das Erheben, das Ordnen, die Speicherung, das Verändern, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung oder das Löschen von Daten.
Beispiele
Speichern: Archivierung der Daten auf einer Festplatte, einem USB-Stick, einer CD, in einer Cloud o. Ä.
Verändern: z. B. Ändern der Adresse wegen Umzugs.
Übermitteln: Weitergabe der Daten an einen Dritten.
Löschen: Vernichtung der Daten.
3.2 Grundsätze der Verarbeitung personenbezogener Daten (Art. 5 DSGVO)
Personenbezogene Daten müssen nach Art. 5 DSGVO u.a.:
■ auf rechtmäßige Weise verarbeitet werden,
■ für festgelegte, eindeutige und legitime Zwecke erhoben werden,
■ sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein,
■ auf das notwendige Maß beschränkt sein,
■ transparent verarbeitet werden.
Zudem muss gewährleistet sein, dass die Daten nur so lange gespeichert werden, wie es für die Zwecke erforderlich ist (Speicherbegrenzung), die Daten vor unbefugtem Zugriff ausreichend geschützt sind (Integrität und Vertraulichkeit) und letztlich der Verantwortliche die Einhaltung der vorgenannten Punkte nachweisen kann (Rechenschaftspflicht).
Besondere personenbezogene Daten wie rassische und ethnische Herkunft, Religion oder Gewerkschaftszugehörigkeit dürfen grundsätzlich nicht verarbeitet werden, Art. 9 DSGVO.
3.3 Rechtmäßigkeit der Verarbeitung (Art. 6 DSGVO)
Nach Art. 6 DSGVO ist eine Verarbeitung u.a. dann rechtmäßig, wenn:
■ die betroffene Person ihre Einwilligung gegeben hat oder
■ die Verarbeitung für die Erfüllung eines Vertrags erforderlich ist, dessen Vertragspartei die betroffene Person ist oder
■ die Verarbeitung zum Schutz lebenswichtiger Interessen der betroffenen Person wichtig ist.
Diese Voraussetzungen können jedoch durch Rechtsvorschriften eingeschränkt werden, Art. 23 DSGVO.
3.4 Rechte der betroffenen Person (Art. 12 DSGVO)
Nach Art. 12 DSGVO hat der Betroffene das Recht, über die von ihm gespeicherten Daten schriftlich Auskunft zu verlangen.
Das Recht erstreckt sich auf die Auskunft über:
■ die zu seiner Person gespeicherten Daten,
■ die Herkunft der gespeicherten Daten,
■ den Zweck der gespeicherten Daten,
■ die Weitergabe der Daten an Dritte.
Das wichtige Recht auf Löschung der personenbezogenen Daten ergibt sich aus Art. 17 DSGVO. Weitere Rechte des Betroffenen finden sich in den Art. 12 – 22 DSGVO.
Art. 13 DSGVO legt fest, dass dem Betroffenen u.a. Zweck, Verarbeitung, Nutzung und Name sowie Kontaktdaten des Verantwortlichen zum Zeitpunkt der Erhebung dieser Daten mitzuteilen sind.
3.6 Technische und organisatorische Maßnahmen (Art. 24, 32 DSGVO)
Die Art. 24 und 32 DSGVO verpflichten den Verantwortlichen dazu, geeignete technische und organisatorische Maßnahmen zu ergreifen, um sicherzustellen und den Nachweis zu erbringen, dass die Verarbeitung gemäß der DSGVO erfolgt.
Dabei ist ein „angemessenes Schutzniveau“ zu gewährleisten, wobei u.a. die Eintrittswahrscheinlichkeit und die Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen sind.
Vergibt das Unternehmen die Datenverarbeitung an einen Dritten (sog. Auftragsverarbeiter), so muss sich dieser ebenfalls an die Vorgaben der DSGVO halten.
3.7 Videoüberwachung öffentlich zugänglicher Räume (Art. 32 DSGVO)
Zum Zweck der Überwachung können u. U. Videokameras eingesetzt werden. Auf öffentlich zugänglichem Privatgelände ist dies nach § 4 BDSG (Art. 32 DSGVO) grundsätzlich zulässig, wenn:
■ die Videoüberwachung zur Wahrnehmung des Hausrechts oder berechtigter Interessen für konkret festgelegte Zwecke (z. B. Verhinderung von Straftaten) erforderlich ist,
■ schutzwürdige Interessen des Betroffenen nicht überwiegen,
■ auf die Kameras ausreichend hingewiesen wird.
Letztlich sind die Daten unverzüglich zu löschen, wenn der Zweck erreicht ist oder ein schutzwürdiges Interesse des Betroffenen der weiteren Speicherung entgegensteht.
Beispiel
Videoüberwachung eines Geldautomaten. Die gewonnenen Daten sind unverzüglich zu löschen.
Die Überwachung „eines öffentlichen Bereiches“ durch Private kann nur in Ausnahmefällen und mit Zustimmung der Aufsichtsbehörde erfolgen.
Beispiel
Videoüberwachung eines öffentlichen Weges vor dem Betriebsgelände. Hier ist die Zustimmung der Aufsichtsbehörde erforderlich.
3.8 Meldung von Verletzung des Schutzes personenbezogener Daten (Art. 33 DSGVO)
Wird der Schutz personenbezogener Daten verletzt, muss der Verantwortliche dies grundsätzlich innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde melden (Art. 33 DSGVO).
3.9 Datenschutzbeauftragter (Art. 37–39 DSGVO)
Das Thema Datenschutzbeauftragter ist in den Art. 37–39 DSGVO geregelt.
Ein Datenschutzbeauftragter muss immer dann bestellt werden, wenn mindestens zwanzig Personen im Unternehmen mit der Datenverarbeitung ständig beschäftigt sind (Art. 37 Abs. 4 DSGVO i. V. m. § 38 Abs. 1 BDSG).
Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt. Zu seinen Aufgaben gehört nach Art. 39 DSGVO u.a. die Beratung des Verantwortlichen und die Zusammenarbeit mit der Aufsichtsbehörde.
Er kann auch ein Externer, also kein Mitarbeiter des Unternehmens sein.
3.10 Strafvorschriften im StGB, Haftung und Sanktionen
Im Strafgesetzbuch sind Verstöße gegen die datenschutzrechtlichen Vorschriften gesetzlich geregelt.
Im Einzelnen sind das:
■ Verletzung der Vertraulichkeit des Wortes, § 201 StGB,
■ Verletzung des höchstpersönlichen Lebensbereichs durch Bildaufnahmen, § 201a StGB,
■ Verletzung des Briefgeheimnisses, § 202 StGB,
■ Ausspähen von Daten, § 202a StGB.
Art. 82 DSGVO bestimmt, dass jede Person, der wegen eines Verstoßes gegen die Vorgaben der DSGVO ein Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter hat.
Nach Art. 83 DSGVO können Verstöße gegen die Verordnung mit Bußgeldern geahndet werden. Abhängig von Art und Schwere des Verstoßes sind bei Unternehmen Beträge bis zu 20.000.000 EUR oder 4% des vorangegangenen Jahresumsatzes als Bußgeld möglich – je nachdem, welcher Betrag höher ist.
Zusammenfassung
Sinn der DSGVO bzw. des BDSG ist es, den Einzelnen vor Missbrauch seiner personenbezogenen Daten (Name, Vorname, Adresse, Krankendaten o.Ä.) zu schützen.
Beide Vorschriften müssen von öffentlichen und privaten Stellen beachtet werden.
Personenbezogene Daten sind grundsätzlich beim Betroffenen zu erheben (mit schriftlicher Zustimmung), außer es liegt ein gesetzlicher Grund vor.
Aufgabe des Datenschutzbeauftragten ist es, Datenmissbrauch im Betrieb zu verhindern.
Videoüberwachung ist im privaten Bereich grundsätzlich nur dann erlaubt, wenn ein zulässiger Grund vorliegt und ausreichend auf die Videoüberwachung hingewiesen wird.
Bei Verstößen gegen die Vorgaben der DSGVO drohen Bußgelder und/oder Schadensersatzansprüche.
