Allein der Urheber eines Bildes bestimmt dessen Verwertung (Vervielfältigung, Verbreitung, Ausstellung), § 15 Abs. 1 UrhG. Bei der Veröffentlichung/Verbreitung von Bildern ist das entsprechende Nutzungsrecht einzuholen (§§ 31 f. UrhG), die Urheberbezeichnung zu berücksichtigen (§ 13 UrhG) und – sofern erkennbar Personen abgebildet sind, deren Einwilligung (§ 22 KunstUrhG) einzuholen. Nähere Informationen erhalten Sie in unserem Beitrag „Datenschutzkonformes Fotografieren im DSGVO-Zeitalter – unmöglich?“.

Datenschutz(recht) umfasst die gesetzlichen Bestimmungen, die dem Schutz eines jeden Einzelnen vor der Beeinträchtigung des Rechts auf informationelle Selbstbestimmung (Persönlichkeitsrecht) dienen und den Umgang mit personenbezogenen Daten regeln.

Jede Aufsichtsbehörde verfügt über sämtliche Untersuchungsbefugnisse, die es ihr gestatten u.a. von dem Verantwortlichen und dem Auftragsverarbeiter Zugang zu allen personenbezogenen Daten und Informationen, die zur Erfüllung ihrer Aufgaben notwendig sind, zu erhalten und gemäß dem Verfahrensrecht der Union oder dem Verfahrensrecht des Mitgliedstaats Zugang zu den Räumlichkeiten, einschließlich aller Datenverarbeitungsanlagen und -geräte, des Verantwortlichen und des Auftragsverarbeiters zu erhalten (Art. 58 Abs. 1 lit. e) und f) DSGVO).

Dies wird von § 40 Abs. 4, 5 BDSG weiter konkretisiert:

Die der Aufsicht unterliegenden Stellen sowie die mit deren Leitung beauftragten Personen haben einer Aufsichtsbehörde auf Verlangen die für die Erfüllung ihrer Aufgaben erforderlichen Auskünfte zu erteilen. Der Auskunftspflichtige kann die Auskunft auf solche Fragen verweigern, deren Beantwortung ihn selbst oder einen der in § 383 Absatz 1 Nummer 1 bis 3 der Zivilprozessordnung bezeichneten Angehörigen der Gefahr strafgerichtlicher Verfolgung oder eines Verfahrens nach dem Gesetz über Ordnungswidrigkeiten aussetzen würde. Der Auskunftspflichtige ist darauf hinzuweisen.

Die von einer Aufsichtsbehörde mit der Überwachung der Einhaltung der Vorschriften über den Datenschutz beauftragten Personen sind befugt, zur Erfüllung ihrer Aufgaben Grundstücke und Geschäftsräume der Stelle zu betreten und Zugang zu allen Datenverarbeitungsanlagen und -geräten zu erhalten. Die Stelle ist insoweit zur Duldung verpflichtet. Ein Richtervorbehalt ist insoweit nicht zu beachten, wäre allerdings gemäß des 129. Erwägungsgrundes der DSGVO möglich gewesen.

Der Datenschutzbeauftragte kann auch andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter müssen allerdings sicherstellen, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen. Dies ist im jeweiligen Einzelfall zu prüfen, wobei insbesondere der Aufgaben-/Pflichtenbereich sowie die Weisungsunabhängigkeit zu berücksichtigen sind. Regelmäßig wird man deshalb in den nachfolgend genannten Fällen einen Interessenkonflikt zu bejahen haben:

• Geschäftsführung,
• Unternehmensinhaber,
• Betriebsleitung,
• Vorstandsmitglieder,
• Personalabteilungsleitung,
• Leitung der IT-/EDV-Abteilung,
• Systemadministrator,
• Gleichstellungsbeauftragter.

Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere seines Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der ihm kraft Gesetzes obliegenden Aufgaben. Er kann Beschäftigter des Verantwortlichen sein (betrieblicher/interner Datenschutzbeauftragter) oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrages erfüllen (externer Datenschutzbeauftragter).

Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der im Gesetz genannten Aufgaben, u.a. Unterrichtung, Beratung, Überwachung, Sensibilisierung, Kooperation mit der Aufsichtsbehörde (vgl. Art. 39 DSGVO und § 7 BDSG n.F.). Unverzichtbar ist damit eine juristische sowie eine informationstechnische Ausbildung, auch wenn diese gesetzlich nicht weiter konkretisiert wird. Der Verantwortliche oder der Auftragsverarbeiter hat die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen und diese Daten der Aufsichtsbehörde mitzuteilen.

Die Datenschutzgrundverordnung (DSGVO) gilt ab dem 25. Mai 2018 unmittelbar in alle EU-Mitgliedstaaten. Das heißt, dass sie nicht erst in nationales Recht von dem deutschen Gesetzgeber umgesetzt werden muss. Zeitgleich tritt das Bundesdatenschutzgesetz (BDSG) in einer neuen Fassung in Kraft. Dies war erforderlich, da das BDSG zum einen teilweise abweichende Regelungen von zwingenden Vorschriften der DSGVO beinhaltete und zum anderen die DSGVO Öffnungsklauseln für eine fakultative nationale Ausgestaltung seitens der Mitgliedstaaten zur Verfügung stellt. Für mehr Informationen siehe „Mitteilung: Gesetzentwurf zur Anpassung des Bundesdatenschutzgesetzes an die Datenschutzgrundverordnung – DSAnpG(E)“.

Datensicherheit beschreibt den Schutz von Daten vor dem unbefugten Zugriff von außen, vor der ungewollten Veränderung und die Gewährleistung der Verfügbarkeit der Daten. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen hat der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, Art. 32 Abs. 1 DSGVO.

Die Übermittlung personenbezogener Daten an ein Drittland kann bspw. dann relevant werden, wenn US-amerikanische Webdienste im Unternehmen Anwendung finden sollen, z.B. YouTube, Twitter etc. Neben dem grundsätzlich erforderlichen Erlaubnistatbestand für die Übermittlung (Datenverarbeitung) sind ferner die Anforderungen aus Art. 44 ff. DSGVO zu beachten.

Bestenfalls liegt daher für die Datenübermittlung ein Angemessenheitsbeschluss der Europäischen Kommission (Art. 45 DSGVO) vor, der bestätigt, dass das Drittland ein vergleichbares Datenschutzniveau bietet, wie es in der EU durch die DSGVO vorgeschrieben ist. Derzeit besonders relevant ist diesbezüglich z.B. das EU-US Privacy Shield, was den danach zertifizierten US-amerikanischen Unternehmen ein vergleichbares Datenschutzniveau bestätigt, im Moment aber durchaus kritisch gesehen werden kann.

Liegt kein Angemessenheitsbeschluss vor, so kommen geeignete Garantien des Verantwortlichen nach Art. 46 DSGVO für die Datenübermittlung in ein Drittland in Betracht. Hierunter fallen rechtlich bindende und durchsetzbare Dokument im Sinne des Art. 46 Abs. 2 lit. a) DSGVO, Binding Corporate Rules (Art. 47 DSGVO), genehmigte Verhaltensregeln (Art. 40 DSGVO) oder Zertifizierungsmechanismen (Art. 42 DSGVO) sowie Standarddatenschutzklauseln/-vertragsklauseln der EU-Kommission oder einer Aufsichtsbehörde (Art. 93 Abs. 2 DSGVO).

Können weder geeignete Garantien noch ein Angemessenheitsbeschluss nachgewiesen werden, so verbleiben lediglich vereinzelte Ausnahmetatbestände für die Datenübermittlung in Art. 49 DSGVO. Hierunter fällt beispielsweise die ausdrückliche Einwilligung nach Art. 49 Abs. 1 S. 1 lit. a) DSGVO, nachdem die betroffene Person über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde. Ebenso ist eine Übermittlung zulässig, sofern sie für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich ist, vgl. Art. 49 Abs. 1 S. 1 lit. b) DSGVO.

Grundsätzlich sind Daten nicht eigentumsfähig. Sacheigentum aus dem BGB existiert nur an Sachen, also körperlichen Gegenständen, die greifbar und sinnlich wahrnehmbar sind. Ein geistiges Eigentum aus dem Immaterialgüterrecht existiert an Daten nur punktuell (beispielsweise das Datenbankwerkschutzrecht aus § 4 Abs. 2, §§ 87a ff. UrhG). Für mehr Informationen siehe: „Gesetzlicher Schutz und rechtliche Zuordnung von Daten“.

Der Rechtmäßigkeitsgrundsatz aus Art. 5 DSGVO verlangt, dass jede Verarbeitung personenbezogener Daten auf rechtmäßige Weise geschehen muss. Es muss damit ein Erlaubnisgrund vorhanden sein. Art. 6 DSGVO führt hierzu verschiedene Erlaubnisgründe an, wozu u.a. die Einwilligung zählt. Eine datenschutzrechtliche Einwilligungserklärung ist damit immer nur dann erforderlich, wenn kein anderer Erlaubnisgrund vorliegt.

Andere Erlaubnisgründe sind nach Art. 6 DSGVO:

• Erfüllung eines (Vor-)Vertrags,
• Erfüllung einer rechtlichen Verpflichtung,
• Schutz lebenswichtiger Interessen,
• Wahrnehmung öffentlichen Interesses,
• Wahrung berechtigter Interessen.

Zu den personenbezogenen Gesundheitsdaten sollten gemäß dem 35. Erwägungsgrund der DSGVO alle Daten zählen, die sich auf den Gesundheitszustand einer betroffenen Person beziehen und aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person hervorgehen. Dazu gehören auch Informationen über die natürliche Person, die im Zuge der Anmeldung für sowie der Erbringung von Gesundheitsdienstleistungen im Sinne der Richtlinie 2011/24/EU [Patientenrichtlinie] des Europäischen Parlaments und des Rates für die natürliche Person erhoben werden, Nummern, Symbole oder Kennzeichen, die einer natürlichen Person zugeteilt wurden, um diese natürliche Person für gesundheitliche Zwecke eindeutig zu identifizieren, Informationen, die von der Prüfung oder Untersuchung eines Körperteils oder einer körpereigenen Substanz, auch aus genetischen Daten und biologischen Proben, abgeleitet wurden, und Informationen etwa über Krankheiten, Behinderungen, Krankheitsrisiken, Vorerkrankungen, klinische Behandlungen oder den physiologischen oder biomedizinischen Zustand der betroffenen Person unabhängig von der Herkunft der Daten, ob sie nun von einem Arzt oder sonstigem Angehörigen eines Gesundheitsberufes, einem Krankenhaus, einem Medizinprodukt oder einem In-Vitro-Diagnostikum stammen.

Die Verarbeitung von Gesundheitsdaten einer natürlichen Person ist grundsätzlich nach Art. 9 Abs. 1 DSGVO untersagt. Dies gilt auch für die Verarbeitung personenbezogener Daten, aus denen beispielsweise die rassische/ethnische Herkunft oder politische Meinungen hervorgehen, sowie u.a. für die Verarbeitung von genetischen Daten und biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person.

Von diesem Verbot ausgenommen werden nach Art. 9 Abs. 2 DSGVO die folgenden Fälle:

• ausdrückliche Einwilligung des Betroffenen,
• arbeits-/sozialrechtliche Rechte/Pflichten,
• Schutz lebenswichtiger Interessen,
• Verarbeitung aufgrund geeigneter Garantien durch politisch, weltanschaulich, religiös, gewerkschaftlich ausgerichtete Stiftung, Vereinigung, sonstige Organisation ohne Gewinnerzielungsabsicht,
• Betroffener hat Daten offensichtlich öffentlich bekannt gemacht,
• Geltendmachung, Ausübung, Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte,
• erhebliches öffentliches Interesse,
• Gesundheitsvorsorge oder Arbeitsmedizin, für Beurteilung der Arbeitsfähigkeit, für medizinische Diagnostik, Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich von Berufsgeheimnisträgern bzw. gesetzliche Geheimhaltungspflicht,
• öffentliche Gesundheit, wie u.a. dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten,
• öffentliches Interesse: Archivzwecke.

In jedem Fall ist eine Verarbeitung von Gesundheitsdaten nur zulässig, wenn sie zur Aufgabenerfüllung unbedingt erforderlich ist. Zudem müssen bei der Verarbeitung in Anlehnung an § 48 Abs. 2 BDSG geeignete Garantien für den Betroffenen vorgesehen sein. Dies können insbesondere die folgenden Garantien sein:

• spezifische Anforderungen an Datensicherheit oder Datenschutzkontrolle,
• Festlegung von besonderen Aussonderungsprüffristen,
• Sensibilisierung der an Verarbeitungsvorgängen Beteiligten,
• Zugangsbeschränkung zu personenbezogenen Daten innerhalb der verantwortlichen Stelle,
• von anderen Daten getrennte Verarbeitung,
• Pseudonymisierung personenbezogener Daten,
• Verschlüsselung personenbezogener Daten,
• spezifische Verfahrensregelungen, die im Fall einer Übermittlung oder Verarbeitung für andere Zwecke die Rechtmäßigkeit der Verarbeitung sicherstellen.

IT-Sicherheit beschreibt den Zustand der Datensicherheit, folglich die Sicherstellung der Funktionalität der IT-Infrastruktur mithilfe von technischen und organisatorischen Maßnahmen. Das von uns zur Verfügung gestellte Sicherheitstool-Mittelstand (kurz: SiToM) ist dabei ein effektives Werkzeug, um den Status der IT-Sicherheit in Ihrem Unternehmen zu erfassen, zu bewerten und durch die Umsetzung der vorgeschlagenen Maßnahmen zu verbessern: https://www.sitom.de/home.

Das Mittelstand 4.0-Kompetenzzentrum Chemnitz unterstützt kleine und mittelständische Unternehmen (KMU) und zeigt technologische und wirtschaftliche Potenziale der Digitalisierung, Vernetzung und Anwendung von Industrie 4.0 auf und begleitet KMU auf dem Weg in eine digitale Zukunft. Es ist Teil der Förderinitiative „Mittelstand 4.0 – Digitale Produktions- und Arbeitsprozesse“, die im Rahmen des Förderschwerpunkts „Mittelstand-Digital – Strategien zur digitalen Transformation der Unternehmensprozesse“ vom Bundesministerium für Wirtschaft und Energie (BMWi) gefördert wird.

„Pseudonymisierung“ ist gemäß Art. 4 Nr. 5 DSGVO die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.

Firewalls mit SSL/TLS-Entschlüsselung (Secure Sockets Layer – Transport Layer Security) sollen einer inhaltsbezogenen Analyse des verschlüsselten Datenverkehrs zur Abwehr von Gefahren – z.B. per E-Mail oder beim Online-Surfen- und damit der IT-Sicherheit dienen. Grundsätzlich unzulässig – und sogar gemäß § 206 StGB strafbewehrt – ist dies gemäß §§ 88, 91 ff. TKG (Telekommunikationsgesetz – Fernmeldegeheimnis) aber, wenn das Unternehmen die private Internetnutzung (konkludent/stillschweigend) zugelassen hat. Nach derzeitiger Ansicht der Datenschutzaufsichtsbehörden führt dies nämlich dazu, dass das Unternehmen als ein dem TKG unterliegender Telekommunikationsanbieter zu behandeln ist. Die Möglichkeiten einer SSL/TLS-entschlüsselnden Firewall beschränken sich damit grundsätzlich auf die Zulässigkeitsvoraussetzungen aus §§ 91 ff. TKG, auf Betriebsvereinbarungen (vgl. Art. 88 DSGVO) oder auf Einwilligungen, wobei bei Letzteren gerade die Freiwilligkeit im Beschäftigungskontext genauestens geprüft werden muss (vgl. § 26 Abs. 2 BDSG). Ist die private Internetnutzung untersagt, so käme dagegen nach einer Einzelfallprüfung Art. 6 Abs. 1 S. 1 lit. f) DSGVO als Grundlage in Betracht. Unabhängig davon sollte im Voraus eine Datenschutzfolgenabschätzung gemäß Art. 35 DSGVO durchgeführt werden.

Der Grundsatz der Vertraulichkeit und Integrität personenbezogener Daten (vgl. Art. 5 Abs. 1 lit. f), 32 DSGVO) verlangt – ebenso wie bereits § 13 Abs. 7 TMG, dass ein Datenaustausch auf einer Webseite nur mittels verschlüsselter Verbindung (Secure Sockets Layer – SSL bzw. Transport Layer Security – TLS) erfolgt. Eine SSL/TLS-Verschlüsselung der Webseite wird damit in aller Regel erforderlich sein.

Telearbeit ist Arbeit, die außerhalb einer betrieblichen Arbeitsstätte, unter Nutzung von Telekommunikationsmedien verrichtet wird und die sich der Arbeitnehmer relativ frei über den Tag einteilen kann.

“Bring Your Own Device” (BYOD) beschreibt die Situation, in der Arbeitnehmer ihre privaten elektronischen Endgeräte für berufliche Zwecke nutzen. Damit wird das private Endgerät (beispielsweise das Smartphone) zu einem Arbeitsmittel entsprechend der Betriebssicherheitsverordnung (BetrSichV) und ist von dem Arbeitgeber vor der Nutzung zu genehmigen (§ 5 Abs. 4 BetrSichV). Daneben kann BYOD zu rechtlichen Problemen führen, beispielsweise, wenn das private Endgerät mit einer Software ausgestattet ist, die nur für die private Nutzung kostenlos im Internet zum Download bereitgestellt wird. Bei der geschäftlichen Nutzung wird gegen die im Rahmen des Downloads geschlossene Nutzungsvereinbarung verstoßen, so dass ein Lizenzverstoß entsprechend des UrhG vorliegt (§ 2 Abs. 1 Nr. 1 UrhG, §§ 69a ff. UrhG). Für mehr Informationen siehe „Arbeit 4.0: „Bring Your Own Device“ – ausgewählte rechtliche Fragestellungen“.