In allen Staaten der EU gilt die Datenschutzgrundverordnung unmitelbar.
Das deutsche Bundesdatenschutzgesetz gilt nur insofern weiter, als dass die DSGVO Öffnungsklauseln hat, aufgrund derer der nationale Gesetzgeber eigene Verordnungen erlassen kann.
Weitere Rechtsgebiete, die durch das Datenschutzrecht berührt sind, sind das Telemediengesetz (bei privater Nutzung des dienstlichen Mailprogrammes oder der privaten Nutzung des Internets im Dienst), das Gesetz gegen unlauteren Wetbewerb (bei der Versendung von Mailings an Unbekannte) und das Kunsturheberrechtsgesetz (bei der Veröffentlichung von Film- oder Fotoaufnahmen).
Die DSGVO gilt für Unternehmen. Es ist ein gravierender Unterschied, ob eine Privatperson auf Social Media aktiv ist und „Follower“ hat oder ob ein Unternehmen ein anderes Unternehmen dafür bezahlt, das Nutzerverhalten seiner Kunden zu dokumentieren.
Datenschutz im internationalen Kontext
Die DSGVO ist zwar eine europäische Verordnung – diese Verordnung hat dazu beigetragen, dass auch andere Länder außerhalb der EU analoge Datenschutzregelungen erlassen haben und diese auch durchsetzen.
Das vereinfacht den Austausch mit Unternehmen in solchen Ländern – ihre Daten genießen dort ein vergleichbares Schutzniveau.
Als Unternehmen müssen Sie unter allen Umständen im Detail wissen
• welches Unternehmen die personenbezogenen Daten Ihrer Mitarbeiter, Kunden und Lieferanten verarbeitet und
• wo dieses Unternehmen seinen Sitz hat und
• welches Schutzniveau personenbezogene Daten dort genießen.
Beispiel USA:
Die Marktmacht von Dienstleistern der Internetkommunikation mit Sitz in den USA ist so überwältigend, dass die EU-Kommission in 2 Abkommen versucht hat, für die EU-Bürger und deren Datenschutz in den USA einen vergleichbaren Schutz zu erreichen.
Beide Abkommen haten nach Klagen von Markus Schrems und der NGO NOYB keinen Bestand vor dem Europäischen Gerichtshof.
Hintergrund ist der jederzeit mögliche und rechtlich nicht angreifbare Zugriff von Regierungsstellen auf personenbezogene Daten von Nicht-US-Bürgern. Das Fehlen einer Klagemöglichkeit in datenschutzrechtlichen Belangen lässt auch den aktuell driten Versuch der EU-Kommission (Trans Atlantic Data Privacy Framework) wenig aussichtsreich erscheinen.
Vorsicht daher bei Sätzen wie:….. „der Übertragung ihrer Daten in die Vereinigten Staaten und andere Länder mit anderen Datenschutzgesetzen zustimmen“
Auch ist derzeit Vorsicht geboten, mit der Hoffnung auf ein Zustandekommen des Abkommens Verträge zu schließen – ein zukünftiges Urteil des EUGH kann diesen Vertrag implizit für nichtig erklären.
Datenschutz in Baden-Würtemberg:
Im Jahr 2022 verhängte die Behörde in Baden- Würtemberg Bußgelder in Höhe von 145.900 € aus 213 Verfahren.
Insgesamt werden jedes Jahr rund 2000 Datenpannen beim Landesbeau�ragten für den Datenschutz angezeigt – dies kann jeder Bürger tun, wenn er bei einem Unternehmen einen missbräuchlichen Umgang mit personenbezogenen Daten vermutet.
Eng damit verbunden ist die Cybersicherheit, legen es Hacker neben der Erpressung auch darauf an, Kundendaten zu vereinnahmen und diese über das Darknet zu verkaufen.
Datenschutz im Unternehmen
Unsere Berater stellen in neuen oder bestehenden Mandaten immer wieder fest:
• die Personalabteilung entspricht den Datenschutzbestimmungen durch abschließbare Schränke und Authentifizierung der Nutzer bei der Bearbeitung der Daten von Mitarbeitern. Bewerberdaten werden routinemäßig gelöscht – aber passiert das auch im ganzen Unternehmen – d.h. auch bei den Fachvorgesetzten? Welche zusätzlichen Anforderungen gibt es beim Beschäftigtendatenschutz? Gibt es Tools, die mit KI nutzbar sind und DSGVO-konform?
• die Produktion hat wenig mit dem Datenschutz zu tun – hier geht es meistens um Listen, auf denen mehr Daten stehen als nötig (XY „krank w. Corona“), um Absprachen per Messengerdiensten, um „Mitarbeiter des Monats“ mit Bild und Name etc.
• Marketing und Verkauf: Hier beobachten wir die größten Baustellen und die gröbsten Verstöße im Umgang mit den privaten Daten der Kunden im B to C – Geschäft: Es wird eine App eingerichtet, um Kunden an sich zu binden, deren Daten von einem Auftragsverarbeiter in einem Dritland verarbeitet werden oder es werden Kunden vom privaten Messengerdienst der Mitarbeiter ausgehend kontaktiert
• IT : Dringend muss immer wieder dazu geraten werden, den Mitarbeitern schriftlich die private Nutzung des dienstlichen Mailaccounts und des dienstlichen Mobiltelefons zu untersagen und das auch regelmäßig zu kontrollieren. Diese Praxis verstößt nicht nur gegen den Datenschutz, ihr Unternehmen ist auch Telekommunikationsanbieter nach dem TMG. Im Falle einer per mail eingeschleuste Schadsoftware haben Sie aus Datenschutzgründen keine Möglichkeit, das zurückzuverfolgen – die Mailaccounts Ihrer Mitarbeiter gelten als privat.
• Logistik: Vorsicht bei App-gestützten Systemen zur Tourenverfolgung, Tourenplanung und – abrechnung. Die Fahrzeugüberwachung verstößt i.d.R. nicht gegen den Datenschutz, die Überwachung des Mitarbeiters schon – das kann ins Auge gehen.
• Geschäftsführung: Vorsicht bei der Überwachung allgemein, aber insbesondere bei der Überwachung durch Kameras. Diese können in Einzelfällen zwingend notwendig sein, bedürfen aber einer sorgfältigen Dokumentation und einer vorherigen
Datenschutzfolgeabschätzung.
Gerne unterstützen Sie unserer Datenschutzbeauftragten bei Ihren Themen – schreiben Sie uns unter datenschutz@ernaehrung.net.