Gewerberecht

Was ist Datenschutz?

Im Grundgesetz der Bundesrepublik Deutschland ergibt sich aus der Kombination von Artikel 2 (Freiheit der Person) und Artikel 1 (Würde des Menschen) ein allgemeines Persönlichkeitsrecht. Dieses allgemeine Persönlichkeitsrecht umfasst auch die sogenannte „informationelle Selbstbestimmung“. Neben dieser „informationellen Selbstbestimmung“ unseres Grundgesetzes wurde in Artikel 8 der Grundrechtecharta der Europäischen Union ausdrücklich der „Schutz personenbezogener Daten“ festgelegt. Dort steht unmittelbar geschrieben, dass jede Person das Recht auf Schutz der sie betreffenden personenbezogener Daten hat.

Der Datenschutz dient dem Schutz personenbezogener Daten einer jeden Person und umfasst Maßnahmen die dem unbefugten Einblick oder einem Missbrauch der Daten verhindern sollen.

Der Datenschutz wird durch bestimmte Gesetze genauer reguliert und ausgestaltet.

In Deutschland gilt die „Datenschutz-Grundverordnung“ der Europäischen Union (DS-GVO), welche für alle EU-Länder gilt. Zusätzlich aber auch ein eigenes, deutsches Gesetz das „Bundesdatenschutzgesetz“ (BDSG) sowie in jedem Bundesland auch eine eigenes „Landesdatenschutzgesetz“ (LDSG).

An die Datenschutzgesetze müssen sich sowohl öffentliche Stellen (z.B. Ämter, Behörden) aber auch nichtöffentliche Stellen (z.B. Privatpersonen, Unternehmen) halten, wenn sie personenbezogene Daten verarbeiten.

Das Ziel und der Anwendungsbereich all dieser Gesetze ist der Schutz personenbezogener Daten von natürlichen Personen (Menschen) gegen missbräuchliche Verwendung. Grundsätzlich sind Daten von juristischen Personen, also Unternehmen, Verein etc. von diesem Gesetz nicht geschützt.

Gesetzliche Bestimmungen des Datenschutzes:

– EU-Datenschutz-Grundverordnung (DS-GVO)
– Bundesdatenschutzgesetz (neu) (BDSG-neu)
– Landesdatenschutzgesetze (LDSG)

Gewerbe
Ein Gewerbe übt aus, wer eine auf Gewinnerzielung und auf Dauer ausgerichtete selbstständige Tätigkeit ausübt.

Bewachungstätigkeit
Ein Bewachungsgewerbe – gemäß §34a GewO – übt aus, wer gewerbsmäßig Leben oder Eigentum fremder Personen schützen will. Dazu gehört die Bewachung von Objekten, Personenschutz, Veranstaltungsschutz, Geld- und Werttransport und viele weitere Tätigkeitsfelder.

Achtung: Eine Bewachungstätigkeit liegt nicht vor, wenn ein Unternehmen eigenes Sicherheitspersonal anstellt, also kein Sicherheitsunternehmen dafür engagiert. Das kann z.B. eine Spedition sein, die eine Person direkt bei sich anstellt, um nachts das Firmengelände zu bewachen. Der Sicherheitsmitarbeiter ist dann bei der Firma selbst angestellt und nicht in einem Sicherheitsdienst tätig. Hiermit liegt keine Bewachungstätigkeit nach §34a GewO vor weshalb die Vorgaben von dem Mitarbeiter dann auch nicht erfüllt sein müssen (z.B. Sachkundenachweis o.Ä.)

Bewachungserlaubnis
Um solch ein Gewerbe ausführen zu dürfen bedarf es einer sogenannten Bewachungserlaubnis, die bei der zuständigen Behörde (Ordnungsamt) zu beantragen ist. (Die Vorraussetzungen die ein Unternehmer dabei erfüllen muss finden Sie im nächsten Abschnitt.)

Selbstständigkeit
Eine Person ist beruflich dann selbstständig, wenn sie an keine Weisungen durch einen Vorgesetzten gebunden ist, im Rahmen des eigenen Gewerbes tätig ist, und die Arbeitszeit frei bestimmen kann.

Beispiel 1
 

Herr Baum möchte sich mit seinen beiden Kumpels selbstständig machen. Sie haben die Idee einen Revierdienst für große Industriekunden in der Umgebung anzubieten. Ein paar Monate später haben sie bereits 5 zusätzliche Mitarbeiter. Diese patroullieren nachts die großen Werksgelände in der nahen Umgebung. Es handelt sich hierbei um das Eigentum fremder Personen.

Herr Baum und seine Kollegen schützen also gewerbsmäßig das Eigentum fremder Personen.

Sie üben ein Bewachungsgewerbe aus.

Beispiel 2

Herr Riebe ist seit Jahren Stammtürsteher bei einer Diskothek in Hamburg. Allerdings ist er nicht bei einem Sicherheitsdienst angestellt, sondern ist direkter Mitarbeiter von der Diskothek.

Herr Riebe übt kein Bewachungsgewerbe nach §34a GewO aus, da er nicht das Eigentum fremder Personen oder Unternehmen schützt. Er ist ein hauseigener Mitarbeiter.

Ein weiterer Begriff der „Daten“ behandelt ist die „Datensicherheit“. Spricht man von „Datensicherheit“, geht es um die Sicherung von Daten vor unbefugten Zugriff, Diebstahl oder auch Zerstörung. Maßnahmen die der Sicherheit von Daten dienen, können z.B. die Speicherung auf mehreren Festplatten, oder die Ablegung in feuerfesten Datensicherungsschränken sein.

Personenbezogene Daten sind alle Informationen, die sich auf eine Person beziehen oder Informationen die einer Person zugeordnet werden können. Diese Informationen können Einblicke in die physische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität der Person liefern.

Einfache personenbezogene Daten sind z.B.:

– Geschlecht

– Größe

– Haarfarbe

– Name und Adresse

– Telefonnummer

 

Es gibt noch eine weitere Menge an personenbezogenen Daten.

Neben den einfachen „personenbezogenen Daten“, gibt es auch noch sogenannte „besondere Kategorien personenbezogener Daten“. Dies sind besonders sensible Daten von Personen die einem besonderen Schutz unterliegen und rechtlich strenger behandelt werden.

Besondere Kategorien personenbezogener Daten sind:

– rassische und ethnische Herkunft

– politische Meinung

– religiöse / weltanschauliche Überzeugung

– Gewerkschaftszugehörigkeit

– genetische Daten

– biometrische Daten

– Gesundheitsdaten

– Sexualleben und sexuelle Orientierung

 

Die Begriffsbestimmung von „personenbezogenen Daten“ findet sich in Artikel 4 DSGVO.

Die Begriffsbestimmung von „besondere Kategorien personenbezogener Daten“ findet sich in Artikel 9 DSGVO.

Ein wichtiger Begriff, wenn wir über die Verwendung von Daten sprechen ist die „Verarbeitung“.

Als „Verarbeitung“ bezeichnet man jeden Vorgang, der personenbezogene Daten

– erhebt
– erfasst
– organisiert oder ordnet
– speichert
– anpasst oder verändert
– ausliest
– abfragt
– verwendet
– übermittelt
– verbreitet oder bereitstellt
– abgleicht oder verknüpft
– einschränkt
– löscht oder vernichtet.

Man kann also sagen, dass immer sobald wir Umgang mit personenbezogenen Daten haben, egal in welcher Art und Weise, der Datenschutz und die Gesetze dazu zu beachten sind.

Ein sogenanntes „Dateisystem“ ist jede strukturierte Sammlung von personenbezogenen Daten auf die Personen Zugriff haben und unabhängig davon wie diese geordnet bzw. sortiert ist.

Solch ein Dateisystem kann digital (z.B. Mitarbeiter- oder Kundenliste) in Excel, aber auch analog (z.B. Mitarbeiterakte im Schrank) sein.

Als Sicherheitsmitarbeiter wird man regelmäßig mit personenbezogenen Daten konfrontiert. Beispielsweise wenn man Besucherdaten am Empfang aufnimmt oder persönliche Daten festhält um ein Hausrecht umzusetzen. Dabei müssen bestimmte „Grundsätze der Verarbeitung“ von uns beachtet werden. Diese sind in Artikel 5 der DSGVO aufgeführt:

1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz

Daten dürfen nur auf rechtmäßige Art und Weise verarbeitet werden (z.B. keine unberechtigte Weitergabe an andere Personen oder Unternehmen). Der Vorgang der Verarbeitung muss für den Betroffenen transparent sein, was bedeutet, dass der Betroffene nachvollziehen können muss, wie seine Daten verarbeitet werden. Außerdem muss die Verarbeitung nach Treu und Glauben erfolgen, welches im weitesten Sinne meint, dass der Betroffene nicht benachteiligt werden darf. Die Daten sollen also nur so verarbeitet werden, wie es bei der Erhebung angegeben worden ist.

2. Zweckbindung

Daten dürfen nur für festgelegte, eindeutige und legitime Zwecken erhoben werden dürfen. Außerdem dürfen diese ohne Zustimmung danach nicht für andere Zwecke weiterverarbeitet werden. Ausnahme davon ist eine Verarbeitung im öffentlichen Interesse für Archivzwecke, wissenschaftliche oder historische Forschungszwecke sowie statistische Zwecke.

3. Datenminimierung

Der Grundsatz der Datenminimierung besagt, dass die aufgenommenen Daten dem Zweck angemessen und erheblich auf das notwendige Maß beschränkt sein müssen. Von einem Täter dem ein Hausrecht ausgesprochen werden soll, kann z.B. der Name und die Wohnadresse aufgenommen werden, nicht jedoch die private Telefonnummer, Kontodaten oder ähnliches.

4. Richtigkeit

Daten die erfasst worden sind, müssen sachlich richtig sein und sollen dabei auf dem neuesten Stand sein. Liegen Daten vor die nicht mehr richtig oder nicht mehr aktuell sind, müssen diese entweder unverzüglich gelöscht oder berichtigt werden.

5. Speicherbegrenzung

Diesem Grundsatz nach, dürfen Daten nur in einer Form gespeichert werden, die eine Identifizierung des Betroffenen nur solange ermöglicht wie es für den Zweck nötig ist. Das bedeutet, dass nach der Erfüllung des Zwecks zu dem ich die Daten aufgenommen habe, diese gelöscht oder anderweitig nicht mehr nutzbar gemacht werden müssen.

6. Integrität und Vertraulichkeit

Bei der Verarbeitung von Daten müssen diese mittels technischer und organisatorischer Maßnahmen, angemessen vor unbefugter oder unrechtmäßiger Verarbeitung, unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder Schädigung gesichert werden. Dies können z.B. doppelte Abspeicherung oder der Verschluss in einem Datensicherungsschrank sein.

7. Rechenschaftspflicht

Bei jedem Datenverarbeitungsvorgang gibt es eine verantwortliche Person die entweder die Datenverarbeitung selbst ausführt oder eine Person, die die Aufsicht darüber führt. Dieser Verantwortliche ist für die Einhaltung der Grundsätze 1-6 verantwortlich und muss ggf. die Einhaltung all dieser Grundsätze nachweisen.

Grundsätzlich gilt bezüglich der Rechtmäßigkeit für die Verarbeitung von Daten das gleiche wie für alle andere Gesetzesbereich. Diese ist nämlich dann rechtmäßig, wenn Gesetze dies ausdrücklich genehmigen oder gegen keine geltenden Gesetze oder Rechte verstoßen.

Genauere Angaben dazu enthält Artikel 6 DSGVO. Dementsprechend ist eine Verarbeitung nur dann rechtmäßig, wenn einer der folgenden Punkte erfüllt ist:

1.  Betroffene Person hat Einwilligung für die Verarbeitung gegeben (z.B. Anmeldung bei Newsletter im Internet und Zustimmung der Datenschutzbestimmungen)

2. die Verarbeitung ist für die Erfüllung eines Vertrages oder Vertragsgestaltung notwendig (z.B. Eintragung der persönlichen Daten in den Mietvertrag)

3. die Verarbeitung ist für zur Erfüllung einer rechtlichen Verpflichtung nötig (z.B. Aufnahme aller Daten aus der Steuererklärung durch das Finanzamt)

4. die Verarbeitung ist erforderlich um lebenswichtige Interessen zu schützen (z.B. Auslesen der Daten von der Krankenkassenkarte im Krankenhaus bei Einlieferung nach einem schweren Unfall)

5. eine Verarbeitung die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt geschieht, wobei die Berechtigung dazu zuvor übertragen worden sein muss (z.B. Citystreife, die zuvor vom Ordnungsamt eine Berechtigung bekommen hat Platzverweise auszusprechen, nimmt die Personalien eines Störers auf)

6. die Verarbeitung ist erforderlich um die berechtigten Interessen von sich oder einem Dritten zu wahren und die Interessen bzw. Grundrechte der betroffenen Person nicht überwiegen. Eine besondere Abwägung muss hier vor allem bei Kindern erfolgen. (z.B. Kameraüberwachung an sensiblen öffentlichen Einrichtungen wie Flughäfen, Bahnhöfen etc.)

 

Zusätzlich erweitert §24 des Bundesdatenschutzgesetzes (BDSG) weitere Rechtmäßigkeiten innerhalb Deutschlands, für die Verarbeitung zu noch mehr Zwecken durch nicht öffentliche Stellen, also private Stellen (z.B. Unternehmen etc.)

Demnach dürfen personenbezogene Daten auch zu anderen Zwecken verarbeitet werden, als so jedem zu dem sie erhoben worden sind, wenn einer der folgenden Punkte vorliegt:

1. Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten erforderlich (z.B. ein Chemikalien-Unternehmen gibt Daten über einen verdächtigen Kunden an Sicherheitsbehörden weiter, weil dieser Chemikalien zum Bau einer Bombe gekauft hat)

2. Geltendmachung, Ausübung bzw. Verteidigung von zivilrechtlichen Ansprüchen (z.B. ein Gast einer Diskothek hinterlässt seine Daten bei einem Gewinnspiel am Eingang, später soll er nach einem Streit ein Hausverbot erhalten und will seine Daten nicht herausgeben. Nun werden die Daten für einen anderen Zweck genutzt)

Bei der Verarbeitung von besonders sensiblen personenbezogenen Daten gibt es noch weitere Bestimmungen die erfüllt sein müssen, damit diese anderweitig verwendet werden können.

Durch die Entwicklung neuer Gesetze können die Berechtigung zur Datenverarbeitung jedoch auch wieder eingeschränkt werden. In Artikel 23 der DSGVO werden mehrere Punkte angegeben, in denen diese Möglichkeit vorliegt. Diese sind:

1. Schutz der nationalen Sicherheit, öffentlichen Sicherheit oder Landesverteidigung

2. Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten …

3. Schutz weiterer Ziele wie wirtschaftliche oder finanzielle Interessen des Staates

4. Schutz der Unabhängigkeit von Justiz und Gerichtsverfahren

5. Verhütung, Aufdeckung, Ermittlung und Verfolgung von Verstößen in reglementierten Berufen (z.B. Versicherungsvertreter)

6. Schutz der betroffenen Personen oder Rechte und Freiheit anderer Personen

7. Durchsetzung zivilrechtlicher Ansprüche

Während das neue Gesetz, welches die Verarbeitungsrechte von öffentlichen und privaten Stellen einschränkt, entworfen wird, muss dieses einen bestimmten Inhalt haben. So müssen z.B. die betroffenen personenbezogene Daten oder der Umfang der vorgenommenen Beschränkungen näher beschrieben werden.

Artikel 24 DSGVO besagt, dass der Verantwortliche der bei einer öffentlichen oder nicht öffentlichen Stelle für die Datenverarbeitung zuständig ist und diese beaufsichtigt, geeignete technische und organisatorische Maßnahmen zu treffen hat, damit die Datenverarbeitung die er umsetzt oder beaufsichtigt, den rechtlichen Vorgaben erfolgt.

Artikel 32 DSGVO beschreibt dann näher, welche möglichen Maßnahmen der Verantwortliche treffen kann. Dabei muss dieser den aktuellen Stand der Technik, Kosten, Art und Umfang der Datenverarbeitung sowie die Risiken für die Datenverarbeitung beachten. Ziel ist die Erreichung eines angemessenes Schutzniveaus.

Solche Maßnahmen können folgende sein:

– Pseudonymisierung oder Verschlüsselung

– Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit oder Belastbarkeit des Systems

– Zugang zu Daten nach physischem oder technischem Zwischenfall wiederherstellen

– Verfahren implementieren, dass die Sicherungsmaßnahmen regelmäßig überprüft und bewertet

Das Schutzniveau welches zu erreichen ist, richtet sich nach der Beurteilung von Risiken für Vernichtung, Verlust oder Veränderung der Daten, oder der unbefugte Zugriff darauf.

Neben den Maßnahmen muss der Verantwortliche auch darauf achten, dass die Personen, die Zugang zu den personenbezogenen Daten haben (z.B. Personalabteilung eines Unternehmens) diese auch nur gemäß den Bestimmungen und nur nach Anweisung verarbeiten.

In Artikel 33 und 34 der DSGVO ist festgehalten, wie man reagieren muss, wenn personenbezogene Daten verletzt worden sind. Solch eine Verletzung kann z.B. der Diebstahl der Daten durch einen Hackerangriff sein.

Zu benachrichtigen sind der Betroffene sowie die Aufsichtsbehörde. Die Meldung muss unverzüglich, mindestens aber innerhalb von 72 Stunden – also 3 Tage nach Bekanntwerden der Verletzung erfolgen. Dies ist auch abhängig davon, wie schwer der Schaden durch die Verletzung ist. Die Meldung muss dabei Informationen enthalten wie z.B. Art der Verletzung, Anzahl der Daten und Betroffenen, welche personenbezogenen Daten sind betroffen. Aber auch Kontaktdaten des Datenschutzbeauftragten im Unternehmen, eine Abschätzung der Folgen und vorgeschlagene Maßnahmen um den Schaden einzugrenzen. Die Meldung, als auch die Informationen an Betroffene und Aufsichtsbehörden muss dokumentiert werden.

Kann ein Schaden durch die Verletzung abgewendet werden, so kann die Meldepflichte an die Betroffenen entfallen. Das ist z.B. der Fall, wenn eine Festplatte mit personenbezogenen Daten gestohlen worden ist, diese aber so sicher verschlüsselt war, dass ein Auslesen für den Täter unmöglich ist.

In Artikel 12 der DSGVO sind weiterführende Pflichten für Personen und Organisationen festgehalten, die bei der Verarbeitung von Daten eingehalten werden müssen.

Transparente Information

Die Stelle die Daten verarbeitet, muss den Betroffenen im Vornherein darüber informieren, dass eine Datenverarbeitung stattfinden soll. Außerdem müssen die Rechte der Betroffenen von Artikel 15-22 DSGVO dargestellt werden. Dies sind z.B. ein Auskunftsrecht, Recht auf Löschung, Einschränkung oder Widerspruch. Weiterhin muss den Betroffenen die Ausübung ihrer Rechte so einfach wie möglich gemacht werden. So sollen dem Betroffenen offengelegt werden, wer für die Datenverarbeitung zuständig ist (Ansprechpartner), die Möglichkeit des direkten Kontaktes zum Datenverarbeiter, sowie eine transparente Bearbeitung von Anträgen von Betroffenen.

Kommunikation

Die Organisation die die Daten verarbeitet muss Betroffenen außerdem jederzeit eine Meldung über den Bearbeitungsstatus seiner Anträge geben können. Die Meldung soll dabei zeitnah nach der Anfrage des Betroffenen erfolgen.

In bestimmten Ausnahmefällen muss keine Meldung an die Betroffenen erfolgen. Dies kann z.B. der Fall sein, wenn der Antragsteller (Betroffener) nicht identifizierbar ist oder die Organisation mit Anfragen überhäuft.

Modalitäten

Die Anträge, die Bearbeitung als auch die Auskünfte müssen kostenlos erfolgen.

Artikel aus der DSGVO

Artikel 12 DSGVO – Informationen für Betroffene stets transparent sein, eine Kommunikation mit dem datenverarbeitenden Unternehmen muss möglich und einfach sein und die Ausübung der Rechte (z.B. Löschung) muss kostenfrei erfolgen.

Artikel 13 DSGVO – Sobald personenbezogene Daten erhoben werden, muss der Betroffene darüber informiert werden und weitere Informationen über die Art und Weise der Datenverarbeitung erhalten (z.B. Ansprechpartner, Zwecke, Absichten des Unternehmens etc.)

Artikel 14 DSGVO – Sobald personenbezogene Daten nicht beim Betroffenen selbst erhoben werden, sondern aus einer anderen Quelle stammen, muss der Betroffene darüber informiert werden und muss weitere Informationen über Art und Weise der Datenverarbeitung erhalten (z.B. Ansprechpartner, Zwecke, Absichten des Unternehmens).

Artikel 15 DSGVO – Die Betroffene Person kann ihr Recht auf Auskunft gegenüber dem Verantwortlichen geltend machen. Auf Nachfrage muss das datenverarbeitende Unternehmen also Informationen über die Art und Weise der Datenverarbeitung dem Betroffenen offenlegen (z.B. Zwecke, Arten der personenbezogenen Daten, Empfänger, Dauer der Speicherung etc.)

Artikel 16 DSGVO – Der Betroffene hat das Recht, bei falsch aufgenommenen Daten oder Änderungen, die Daten beim datenverarbeitenden Unternehmen berichten zu lassen.

Artikel 17 DSGVO – Der Betroffene hat das Recht, dass seine personenbezogenen Daten beim datenverarbeitenden Unternehmen unverzüglich gelöscht werden. Dieses Recht nennt man auch „Recht auf Vergessenwerden“

Artikel 18 DSGVO – Unter bestimmten Voraussetzungen (z.B. unrechtmäßige Verarbeitung) kann der Betroffene die eine Einschränkungen der Verarbeitung beim datenverarbeitenden Unternehmen verlangen.

Artikel 19 DSGVO – Werden personenbezogene berichtigt oder gelöscht, oder deren Verarbeitung eingeschränkt, so muss das datenverarbeitende Unternehmen den Betroffenen dies mitteilen.

Artikel 20 DSGVO – Der Betroffene hat das Recht, die vom datenverabeitenden Unternehmen aufgenommenen personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format (z.B. Excel-Liste) zu erhalten. Dies kann z.B. auch durch ein Download, oder als Versand auf USB-Stick oder CD erfolgen.

Artikel 21 DSGVO – Der Betroffene kann die Verarbeitung seiner Daten beim datenverarbeitenden Unternehmen widersprechen. Dies gilt nicht nur für unmittelbar aufgenommene Daten, sondern auch Daten die in Verbindung mit dem Betroffenen erhoben worden – sogenanntes Profiling (z.B. Nutzungsverhalten von Personen)

Artikel 22 DSGVO – Heutzutage sammeln Unternehmen automatisiert Daten um diese mit Personen zu vernetzen. Dies sind z.B. Nutzungsprofile beim Online-Shopping, Verhalten auf bestimmte Werbung o.Ä. . Der betroffene hat das Recht sich gegen Entscheidungen von Unternehmen, die auf solchen automatisch gesammelten Daten erfolgen zu wehren.

Paragrafen aus dem BDSG

§32 BDSG – Dieser Paragraf im Bundesdatenschutzgesetz gibt weitere Ausnahmen an, wann der Betroffene bei dem die Daten erhoben werden, nicht darüber informiert werden muss wenn seine Daten für andere Zwecke verwendet werden. Dies ist z.B. der Fall, wenn dies die öffentliche Sicherheit oder Ordnung gefährden würde oder die Speicherung als auch die Kommunikation mit dem Betroffenen nicht digital erfolgt und der Zweck ähnlich ist.

§33 BDSG – Dieser Paragraf im Bundesdatenschutzgesetz gibt weitere Ausnahmen an, wann der Betroffene bei dem die Daten NICHT erhoben werden, auch nicht darüber informiert werden muss. Auch hier gilt die Aufrechterhaltung bzw. die Gefährdung der öffentlichen Sicherheit und Ordnung als Maßgabe. Im Falle einer nichtöffentlichen Stelle kann auch die Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche ein solcher Grund sein.

§34 BDSG – Das Auskunftsrecht des Betroffenen wird durch diesen Paragrafen in Deutschland weiter eingeschränkt. Dies ist der Fall, wenn z.B. Daten gespeichert werden weil sie aufgrund gesetzlicher Aufbewahrungsfristen nicht gelöscht werden dürfen oder die Daten ausschließlich zur Datensicherung oder Datenschutzkontrolle dienen. Zusätzlich muss der Aufwand der Auskunftserteilung an die Betroffenen Personen unverhältnismäßig schwierig sein und eine Verarbeitung zu anderen Zwecken ausgeschlossen sein.

§35 BDSG – In diesem Paragrafen wird das Recht auf Löschung für Deutschland eingeschränkt. So ist erlaubt Daten eines Betroffenen nicht zu löschen, wenn die Daten analog gespeichert sind (z.B. Akten) und die Vernichtung einen unverhältnismäßig hohen Aufwand bedeuten würde. Statt der Löschung muss jedoch eine Einschränkung der Daten erfolgen.

§36 BDSG – Das Widerspruchsrecht aus der DSGVO wird hier eingeschränkt, für den Fall, dass an der Verarbeitung der Daten ein zwingendes öffentliches Interesse besteht, das den Interessen des Betroffenen überwiegt.

§37 BDSG – Hier erfolgen weitere Einschränkungen, für den Fall, dass der Betroffene automatisierten Entscheidungen unterworfen wird und sich dagegen wehren möchte. Dies kann z.B. im Rahmen eines Versicherungsvertrages eingeschränkt werden.

Öffentlich zugängliche Räume (z.B. Bahnhöfe) dürfen nur mit Videoüberwachung ausgestattet sein,

– wenn öffentliche Stellen dies zu ihrer Aufgabenerfüllung benötigen (Polizei- Gefahrenabwehr)

– wenn dadurch das Hausrecht wahrgenommen werden soll

– wenn berechtige Interessen wahrgenommen werden sollen und konkret festgelegte Zwecke verfolgt werden…

…und dadurch schutzwürdige Interessen von Personen nicht verletzt werden.

Bei der Videoüberwachung von öffentlich zugänglichen, großflächigen Anlagen (z.B. Sport-, Versammlungs- und Vergnügungsstätten, Einkaufszentren, Parkplätzen, oder Fahrzeugen und Flächen von Schienen-, Schiffs- und Busverkehr gilt z.B. der Schutz von Leben, Gesundheit oder Freiheit der Personen die sich dort aufhalten als besonders wichtiges Interesse.

Die Tatsache, dass eine Videoüberwachung stattfindet ist erkennbar zu machen! (z.B. Schild am Eingang)

Wenn Aufnahmen und dadurch erhobene Daten einer Person zugeordnet werden, ist diese über die Verarbeitung und Nutzung zu benachrichtigen.

Ist ein bestimmter Zweck erreicht, müssen die Aufnahmen unverzüglich gelöscht werden.

Öffentliche Bereiche dürfen mit Videoüberwachung von privaten Personen grundsätzlich nicht überwacht werden. (nur Ausnahme der zuständigen Behörde)

Gemäß Artikel 82 der DSGVO hat jede Person, die durch einen Verstoß gegen die DSGVO einen materiellen oder immateriellen Schaden erleidet, Anspruch auf Schadensersatz gegen den Verantwortlichen oder Auftragsverarbeiter.

Dementsprechend gilt, dass der Verantwortliche bzw. ein Auftragsverarbeiter für den Schaden haftet, wenn sich nicht an die DSGVO gehalten hat und den Pflichten aus der Verordnung nicht nachgekommen ist.

Kann der Verantwortliche oder Auftragsverarbeiter nachweisen, dass er alle möglichen Maßnahmen zur Sicherung der Daten unternommen hat kann er sich der Haftung entziehen.

Bei Verstoß gegen die DSGVO kann die Aufsichtsbehörde Geldbußen verhängen, die von der datenverarbeitenden Stelle gezahlt werden muss. Die Geldbußen sollen wirksam und abschreckend, aber auch verhältnismäßig sein.

Ausschlaggebend für die Höhe des Bußgeldes sind z.B. Art, Schwere und Dauer des Verstoßes, Vorsätzlichkeit oder Fahrlässigkeit, Grad der Vernachlässigung der Pflichten, frühere Verstöße oder Ähnliches.

Es sind Geldbußen von bis zu 20 Mio. € oder 4% des weltweit erziehen Jahresumsatzes von Unternehmen möglich, je nachdem welcher Betrag höher ist.

Der gesamte Content auf dieser Seite ist lediglich eine Zusammenfassung vom Youtube Kanal von Kai Deliomini und der Seite 34aJack.de