Fünf wichtige Basics zur DSGVO

Was für Sie als Assistenz rund um den Datenschutz essentiell ist!

DSGVO
© fotogestoeber / stock.adobe.com

Rund um die Datenschutz-Grundverordnung (DSGVO) gibt es viele Fragen, Gerüchte und falsche Annahmen. Wir haben wesentliche Punkte, die für Ihre Arbeit als Assistenz wichtig sind, einmal zusammengefasst.

Geltung auch für Daten auf Papier

Es liegt auf der Hand, dass die DSGVO für alle elektronischen Daten gilt. Dabei spielt es keine Rolle, wo Daten elektronisch gespeichert sind, ob auf einem Smartphone, einem USB-Stick oder in einer Datenbank. Aber wie sieht es mit Daten auf Papier aus, von Daten auf Karteikarten bis hin zu ausgefüllten Formularen in Leitz-Ordnern, sortiert von A bis Z? Die Antwort: Auch für sie gilt die DSGVO! Denn diese Daten auf Papier sind nach bestimmten Kriterien geordnet, etwa nach dem Alphabet oder nach einer fortlaufenden Nummer. Wenn eine solche innere Ordnung vorliegt, gilt die DSGVO in vollem Umfang auch für nicht elektronische Daten.

Das überrascht manche, denn ursprünglich sollte der Datenschutz einmal besondere Gefahren der EDV abwehren. Aber das ist überholt. Heute geht es bei den Datenschutzvorschriften darum, das Persönlichkeitsrecht umfassend zu schützen. Dazu ist es notwendig, auch Daten auf Papier einzubeziehen. Auch ein einzelnes Blatt mit einer Namensliste, geordnet von A bis Z, weist eine innere Ordnung auf. Damit gilt für dieses Blatt die DSGVO. Und zwar auch dann noch, wenn es schon im Papierkorb liegt.

Eigentlich keine Geltung der DSGVO für Daten Verstorbener, aber …

Mit dem Tod ist alles zu Ende, sogar der Datenschutz. So wirkt es, wenn man den Erwägungsgrund 27 zur DSGVO liest. Denn in seinem ersten Satz heißt es kurz und knapp: „Diese Verordnung gilt nicht für die personenbezogenen Daten Verstorbener.“ Die DSGVO besteht aus 173 Erwägungsgründen und 99 Artikeln. Die Erwägungsgründe sind rechtlich gesehen ein Teil der DSGVO. Sie erläutern Dinge, die man aus den Artikeln der DSGVO nicht ohne Weiteres herauslesen kann.

Der zitierte erste Satz von Erwägungsgrund 27 ist so zu verstehen: Nach dem Tod existiert keine Person mehr, die ein Persönlichkeitsrecht haben konnte. Deshalb findet die DSGVO vom Grundsatz her für Daten Verstorbener keine Anwendung mehr.

Doch Vorsicht! Erwägungsgrund 27 zur DSGVO hat noch einen zweiten Satz. Er lautet: „Die Mitgliedstaaten können Vorschriften für die Verarbeitung der personenbezogenen Daten Verstorbener vorsehen.“ Solche nationalen Vorschriften gibt es gerade in Deutschland ziemlich viele. Dazu nur zwei Beispiele:

  • Die Schweigepflicht von Ärzten gilt nach dem Tod eines Patienten weiterhin. So legt es § 203 Abs. 5 Strafgesetzbuch fest. Dasselbe gilt für die Schweigepflicht von Rechtsanwälten, Steuerberatern und ähnlichen Trägern von Berufsgeheimnissen. Denn auch für sie ist § 203 Strafgesetzbuch anwendbar.
  • Bilder von Personen bleiben bis zehn Jahre nach deren Tod rechtlich geschützt. Das bedeutet: Sie dürfen während dieses Zeitraums nur verbreitet werden, wenn die Angehörigen des Verstorbenen damit einverstanden sind. Das ergibt sich aus den Vorschriften Über das Recht am eigenen Bild, die in § 22 Kunsturheberrechtsgesetz (KUG) enthalten sind.

Im Ergebnis sollten Sie sich deshalb an folgende Faustregel halten: Behandeln Sie die Daten eines Verstorbenen so, als ob es sich um die Daten einer noch lebenden Person handeln wurde. So machen Sie mit Sicherheit nichts falsch.

Titelbild des sekretaria Magazins Ausgabe Februar 2024Dieser Artikel stammt aus dem sekretaria-Magazin. Wollen Sie mehr über die neuesten Trends im Office erfahren? Dann fordern Sie jetzt Ihr kostenloses Probeexemplar an!

Verschärfte Sonderregelungen für besonders geschützte sensible Daten

Alle Daten, die etwas über eine Person aussagen, verdienen Schutz. Dabei muss es keineswegs um „große Geheimnisse“ gehen. Auch Dinge wie der Geburtstag (ob mit oder ohne Geburtsjahr) soll nicht jeder wissen. Dasselbe gilt für die Privatanschrift und den Beziehungsstatus, aber auch für Hobbys, um nur einige Beispiele zu nennen.

Gleichwohl ist es sinnvoll, einige Arten von Daten noch ganz besonders zu schützen. Die DSGVO spricht hier in Art. 9 DSGVO etwas bürokratisch von „besonderen Kategorien personenbezogener Daten“. Um welche Kategorien von Daten es dabei geht, ist dort abschließend aufgezahlt. Besonders geschützt sind demnach:

  • Daten über die rassische und ethnische Herkunft
  • Daten über politische Meinungen
  • Daten über religiöse oder weltanschauliche Überzeugungen
  • Daten über die Gewerkschaftszugehörigkeit
  • genetische Daten
  • biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person
  • Gesundheitsdaten
  • Daten zum Sexualleben oder zur sexuellen Orientierung

Die meisten dieser Arten von Daten kommen im gewöhnlichen Büroalltag so gut wie nicht vor. Das sieht natürlich anders aus, wenn es um eine Arztpraxis geht oder um ein Lohnbüro. Dort lasst es sich gar nicht vermeiden, dass solche Daten vorhanden sind. Klassisches Beispiel: Die Mitgliedschaft in einer Kirche, die Kirchensteuer erhebt, muss im Lohnbüro bekannt sein.

Wichtig: Die Verarbeitung von Daten der aufgezahlten Art ist nicht etwa generell verboten. Sie unterliegt lediglich besonders strengen Vorschriften. Wenn die Verarbeitung solcher Daten gesetzlich angeordnet ist, muss man darüber nicht besonders nachdenken, sondern kann es einfach tun. Das gilt etwa für die Religionszugehörigkeit bei der Lohnabrechnung.

Wichtige Grundsätze der DSGVO mit genereller Geltung

(Begriff der personenbezogenen Daten, Zweckbindung, Speicherbegrenzung und Rechenschaftspflicht)

Art. 5 DSGVO enthalt einige allgemeine Grundsatze, die immer zu beachten sind, wenn man mit personenbezogenen Daten umgeht. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Eine solche Person bezeichnet die DSGVO als „betroffene Person“ (Art. 4 Nr. 1 DSGVO). Oft benutzen auch Juristen stattdessen einfach den Begriff des „Betroffenen“. Personenbezogen können Daten auch dann sein, wenn kein Name dasteht. Der Personenbezug verschwindet deshalb normalerweise auch nicht, wenn man zum Beispiel den Namen und den Vornamen nur durch abgekürzte Buchstaben angibt (aus „Heiner Muller“ wird „H. M.“). Für den Umgang mit personenbezogenen Daten gilt der Grundsatz der Zweckbindung. Wer sich Daten beschafft, muss dabei festlegen (und der betroffenen Person auch sagen), für welchen Zweck sie gedacht sind. Beispiel: Wenn die Personalabteilung Daten einer neu eingestellten Person festhält, dient dies dem Zweck des Arbeitsverhältnisses. Weiteres Beispiel: Wenn ein Kunde etwas bestellt, dienen seine Daten zur Abwicklung dieser Bestellung. Will man solche Daten dann auch noch für andere Zwecke verwenden, ist dies immer eine heikle Sache. Eine solche „Zweckänderung“ schließt die DSGVO zwar nicht grundsätzlich aus. Sie bedarf aber immer einer besonderen Begründung. Ohne rechtliche Beratung geht es dabei normalerweise nicht.

Personenbezogene Daten sind zu vernichten, wenn sie für die Zwecke, um die es bei ihnen geht, nicht mehr gebraucht werden. Das ergibt sich aus dem Grundsatz der Speicherbegrenzung. Beispiel: Wenn die Ausschreibung für eine Stelle abgeschlossen ist, sind die Bewerbungsunterlagen der erfolglosen Bewerber zu vernichten. Alternativ sind sie ihnen zurückzugeben. Dem Datenschutz ist beides recht.

Die Rechenschaftspflicht besagt: Der Verantwortliche muss jederzeit nachweisen können, dass er die Vorgaben der DSGVO einhält. Mit dem „Verantwortlichen“ ist das Unternehmen als solches gemeint (Art. 4 Nr. 7 DSGVO). Letztlich verantwortlich für den Datenschutz ist damit die Leitung des Unternehmens. Sie muss regeln, wer für den Datenschutz im Unternehmen was zu tun hat. Solche Vorgaben sind also kein bürokratischer Luxus, sondern zwingende Notwendigkeit. Im Normalfall geht es deshalb nicht ohne eine Geschäftsanweisung zum Datenschutz oder etwas Ähnliches.

Rolle des Datenschutzbeauftragten im Unternehmen

Wenn vom „Datenschutzbeauftragten“ die Rede ist, sollte man zwei Dinge genau auseinanderhalten:

Über die Einhaltung des Datenschutzes wachen staatliche Behörden. Sie tragen oft die Bezeichnung „Landesbeauftragter für den Datenschutz“. Teils heißen sie jedoch auch anders. So gibt es etwa in Schleswig-Holstein das „Unabhängige Landeszentrum für Datenschutz“. In Bayern ist der Landesbeauftragte für den Datenschutz (München) für die Behörden zuständig. Das Landesamt für Datenschutzaufsicht (Ansbach) kümmert sich um die Unternehmen der Privatwirtschaft. Oft spricht man verkürzt vom „Datenschutzbeauftragten“, wenn eine dieser Aufsichtsbehörden gemeint ist.

Der eigentliche „Datenschutzbeauftragte“ ist jedoch eine Person, die das Unternehmen selbst beauftragt. Sie sorgt für den Datenschutz im Unternehmen. Sie wird oft auch als „interner Datenschutzbeauftragter“ bezeichnet. Wann ein solcher Datenschutzbeauftragter notwendig ist, ist eine Wissenschaft für sich. Für relativ wenige Unternehmen, etwa für Auskunfteien und Inkassobüros, schreibt ihn die DSGVO im Ergebnis direkt vor (Art. 37 DSGVO). Für alle anderen Arten von Unternehmen regelt das Bundesdatenschutzgesetz, ob ein Datenschutzbeauftragter notwendig ist (§ 38 Bundesdatenschutzgesetz). Wichtig dabei: Unternehmen mit weniger als 20 Beschäftigten brauchen im Normalfall keinen Datenschutzbeauftragten.

Beim internen Datenschutzbeauftragten kann es sich um einen Beschäftigten des Unternehmens handeln. Meist übt er diese Funktion neben anderen Aufgaben als Nebenjob aus. Möglich ist es aber auch, einen externen Dienstleister zu beauftragen. Der interne Datenschutzbeauftragte ist vor allem für die Beratung der Unternehmensleitung in Datenschutzfragen da. Ein Recht zu Anweisungen gegenüber einzelnen Mitarbeitern gibt ihm das Gesetz nicht. Etwa notwendige Anordnungen sind Sache der Unternehmensleitung.

Der Autor Dr. Eugen Ehmann ist Regierungspräsident von Unterfranken und ist seit Jahren im Datenschutz aktiv.