Letzte Änderung: 29.11.2024
Das Allgemeine Gleichbehandlungsgesetz (AGG), auch Antidiskriminierungsgesetz genannt, betrifft in einigen Bereichen auch den betrieblichen Datenschutz. Die Einrichtung einer entsprechenden Beschwerdestelle ist vorgeschrieben (§ 13 AGG). Darüber hinaus ist das Gesetz in geeigneter Weise der Belegschaft bekannt zu machen und mit geeigneten Maßnahmen Verstößen vorzubeugen oder solche zu ahnden.
Das allgemeine Persönlichkeitsrecht stützt sich auf Art. 2 Abs. 1 GG – freie Entfaltung der Persönlichkeit – und auf Art. 1 Abs. 1 GG – Schutz der Menschenwürde – und ist somit ein absolutes und sehr weit gefasstes Grundrecht. Im Jahr 1954 wurde das sogenannte Recht auf Achtung und Entfaltung der Persönlichkeit vom Bundesgerichtshof entwickelt. Im Jahr 1973 hat schließlich das Bundesverfassungsgericht in seinem Lebach-Urteil die Relevanz des allgemeinen Persönlichkeitsrechts unterstrichen. Am 15. Dezember 1983 hat das allgemeine Persönlichkeitsrecht die Ausprägung hinsichtlich des informationellen Selbstbestimmungsrechts durch das Volkszählungsurteil vom Bundesverfassungsgericht erhalten. Das Urteil gilt als Meilenstein des Datenschutzes. Im Urteil des Bundesverfassungsgerichts zur Online-Durchsuchung vom 28. Februar 2008 fand dann zusätzlich auch das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme seine Durchsetzung. Die Rechtsprechung definiert vier Sphären der Persönlichkeit – Öffentlichkeitsphäre, Sozialsphäre, Privatsphäre und Intimsphäre. Diese werden vom allgemeinen Persönlichkeitsrecht entsprechend unterschiedlich geschützt. Während die Öffentlichkeitsphäre den schwächsten Schutz genießt, sind Eingriffe in die Intimsphäre unzulässig.
Es handelt sich hier um Antivirenprogramme oder Virenscanner, die bekannte Schadprogramme wie Computerviren, Computerwürmer und auch Trojanische Pferde aufspürt, in ihrer Funktion lahm legt und schließlich beseitigt.
Die Anonymisierung ist neben der Pseudonymisierung eine Maßnahme des Datenschutzes. Hier werden personenbezogene Daten derart verändert, dass eine Zuordnung zu einer Person nicht mehr oder nur mit immensem Zeit-, Kosten- und Arbeitsaufwand möglich ist. Das Löschen von Name und Adresse kann hier ungenügend sein, wenn andere Merkmale eine eindeutige Zuordnung der Daten zu einer bestimmten Person gewährleisten. (Pseudonymisierung)
Bei der Archivierung, auch der elektronischen Archivierung, handelt es sich um die unveränderbare, langfristige Aufbewahrung von Informationen. Zu beachten ist im Rahmen der elektronischen Archivierung die Haltbarkeit der Trägermedien. Auch die Datenkonsistenz muss hier gewährleistet sein. Revisionssichere Archivierung richtet sich unter anderem nach den Anforderungen der §239 und §257 des Handelsgesetzbuches (HGB). Bezüglich Sicherheit und Prüfung von Archivsystemen bieten die IT-Grundschutz-Kataloge des BSI zusätzliche Informationen. Maßgeblich sind hier unter anderem die Grundwerte Vertraulichkeit, Integrität (Informationssicherheit) und Verfügbarkeit der zu archivierenden Informationen.
https://www.bsi.bund.de/DE/Themen/ITGrundschutz/itgrundschutz_node.html
Werden (Teil-)Aufgaben, bei denen auch personenbezogene Daten verarbeitet werden (können), innerhalb eines Unternehmensverbunds oder an außenstehende Dritte ausgelagert (Outsourcing), wird der Auftragnehmer auch als "Auftragsverarbeiter" bezeichnet.
Die verantwortliche Stelle (der Verantwortliche) muss sicherstellen, dass ausschließlich Auftragsverarbeiter ausgewählt werden, die hinreichend Garantieren dafür bieten, dass sie geeignete technische und organisatorische Maßnahmen implementieren und im Einklang mit den gesetzlichen Vorgaben arbeiten.
Beide Parteien schließen einen Vertrag ab, in dem der genaue Zweck der Datenverarbeitung und weitere wichtige Aspekte der DSGVO festgelegt werden. Ihr Datenschutzbeauftragter stellt bei Bedarf entsprechende Muster-Verträge zur Verfügung.
Bei einem Auftragsverarbeiter handelt es sich um eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Bei der Auftragskontrolle ist sicher zu stellen, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden dürfen. Der Auftraggeber hat dem Auftragnehmer exakt vorzuschreiben, wie und in welchem Umfang die Datenverarbeitung zu erfolgen hat. Der Auftraggeber hat laut der Datenschutzgrundverordnung (Art. 28) die Pflicht, den Auftragnehmer dahingehend zu kontrollieren. Der Kontrollansatz setzt bereits bei der Auswahl des Auftragsdatenverarbeiters an und endet bei der Definition/Prüfung entsprechender technischer und organisatorischer Maßnahmen.
Verarbeitung ist jeder, mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Dazu gehört das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von Daten (Art. 4 Absatz 2 DSGVO). Die automatisierte Verarbeitung setzt den Einsatz automatisierter Verfahren inklusive automatisierte Auswertung voraus.