Читать онлайн книгу - Datenschutzgrundverordnung für Dummies. Christian Szidzek. Управление, подбор персонала. LiveLib

Новинки Лучшее Рекомендации

Информация о книге:

Название:

Автор:

Жанр:

Серия:

Издательство:

Datenschutzgrundverordnung für Dummies - Christian Szidzek

Скачать книгу

der Wohnanschrift, dem Familienstand und endet bei verschiedenen kryptischen Ziffern- und Buchstabenkombinationen, über die sich ein Personenbezug herstellen lässt. Manchmal lässt sich nicht leicht auseinanderhalten, ob bestimmte Informationen zu den personenbezogenen Daten gehören oder nicht. Deshalb ist den personenbezogenen Daten in diesem Dummies-Buch ein eigenes Kapitel gewidmet.

Blättern Sie gerne schon einmal vor zu Kapitel 2 Personenbezogene Daten, wenn Sie Genaueres zu personenbezogenen Daten wissen wollen!

Unter der Bezeichnung Verarbeitung versteht man übrigens laut Definition in Art. 4 Nr. 2, alles das, was Sie irgendwie mit personenbezogenen Daten machen können. Dazu zählen das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung sowie das Löschen oder die Vernichtung. Also kurz gesagt, alles, was man mit Daten so anstellen kann.

Automatisierte Verarbeitung

Wenn Sie geschäftsmäßig personenbezogene Daten verarbeiten, kommt es zusätzlich darauf an, wie Sie diese Daten verarbeiten. Sobald die Verarbeitung automatisiert stattfindet, gilt die DSGVO. Darunter versteht man die digitale Datenverarbeitung.

Nicht automatisierte Verarbeitung

Abgesehen von der automatisierten Verarbeitung ist die DSGVO auch anwendbar bei der nicht automatisierten Verarbeitung. Das ist jedenfalls dann der Fall, wenn bei der nicht automatisierten Verarbeitung personenbezogene Daten in einem Dateisystem gespeichert werden. Damit meint man in erster Linie die Verarbeitung personenbezogener Daten in Papierform. Es könnte aber auch sein, dass Sie kein Papier benötigen und stattdessen in der Lage sind, in Ihrem Kopf personenbezogene Daten in einem Dateisystem zu speichern. Dann müssten wir Ihr Gehirn künftig leider auch regelmäßigen Datenschutzkontrollen unterziehen. Sollte das der Fall sein, melden Sie das also bitte dringend bei Ihrer zuständigen Aufsichtsbehörde!

Unter der Bezeichnung Dateisystem versteht die DSGVO jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien sortiert sind.

Nach Erwägungsgrund 15 sind lediglich solche Akten oder Aktensammlungen von dem Anwendungsbereich der DSGVO ausgenommen, die nicht nach bestimmten Kriterien geordnet sind.

Kommen Sie aber um Gottes Willen jetzt nicht auf den Gedanken, Ihre papierhaft gespeicherten Daten deshalb gleich alle wahllos durcheinanderzuwerfen, nur um der DSGVO einen Streich zu spielen! Das könnte zwar funktionieren. Sie könnten mit Ihren Daten dann aber wahrscheinlich auch nichts mehr anfangen. Außerdem hilft es auch nicht, denn wenn Sie die Daten bereits einmal in einem Dateisystem gespeichert hatten, gilt: Einmal Dateisystem, immer Dateisystem.

Räumlicher Anwendungsbereich

Mit der Einführung der DSGVO gelten im Datenschutz jetzt das oben bereits erwähnte Niederlassungsprinzip und das sogenannte Marktortprinzip erstmalig nebeneinander. Auf den folgenden Seiten erfahren Sie, wann das Niederlassungsprinzip gilt und wann das Marktortprinzip.

Niederlassungsprinzip

Immer dann, wenn Sie in der EU niedergelassen sind und dort Ihre Tätigkeit entfalten und nicht der Haushaltsausnahme unterfallen, hat Sauron in Gestalt der Aufsichtsbehörden ein wachsames Auge auf Sie.

In welcher Gestalt Sauron Ihnen erscheinen wird, können Sie weiter unten in Kapitel 4 Die Protagonisten unter der Überschrift Die Aufsichtsbehörden nachlesen.

Dabei ist es egal, ob Sie Daten von EU-Bürgern verarbeiten oder Daten von Bürgern anderer Staaten. Wenn Sie in der EU ansässig sind, müssen Sie sich an die DSGVO halten. Maßgebend ist allein, ob Sie in der EU Ihren Sitz haben oder nicht. Man nennt das Territorialprinzip. Es kann aber auch passieren, dass Sie Ihren Sitz außerhalb der EU haben und sich trotzdem an die DSGVO halten müssen. Dazu gleich mehr unter der Überschrift Marktortprinzip. Das Niederlassungsprinzip – auch oft als Territorialprinzip bezeichnet – besagt also nichts anderes, als dass Unternehmen oder sonstige Organisationen, die sich in der EU niedergelassen haben, an die DSGVO halten müssen. Das ist nachvollziehbar. Was aber viele nicht so richtig wissen, ist, wann sie sich in der EU niedergelassen haben.

In der EU niedergelassene Unternehmen

Die DSGVO gilt also zunächst einmal für alle Unternehmen, die in der EU niedergelassen sind (Art. 3 Abs. 1).

Niederlassung bedeutet nicht Hauptsitz oder Hauptverwaltung, sondern nach Erwägungsgrund 22 genügt eine effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung. Die Rechtsform ist also nicht ausschlaggebend. Es ist egal, ob es sich bei Ihrer Niederlassung nur um eine Filiale oder gleich um ein eigenständiges Unternehmen mit einer bestimmten Rechtsform wie einer GmbH, AG oder Ähnlichem handelt. Selbst ein einzelner Vertreter kann Sie ohne Weiteres in der EU repräsentieren. Wenn Sie also innerhalb der EU wirtschaftlich tätig werden und irgendjemand Sie hier repräsentiert, haben Sie eine Niederlassung in der EU. Und nicht nur das. Sie haben auch eine schöne DSGVO, an die Sie sich jetzt halten müssen.

Konzernstrukturen

Was aber gilt, wenn mehrere selbstständige Organisationen oder Unternehmen mit jeweils eigener Rechtsperson in einer Konzernstruktur zusammengeschlossen sind?

Nehmen wir zum Beispiel einmal an, Ihr Konzern besteht zunächst aus einer Konzernmutter in Form einer Aktiengesellschaft (AG) beziehungsweise dem entsprechenden US-amerikanischen Pendant, also einer Corporation, mit Sitz in den USA. Diese Konzernmutter ist wiederum als herrschendes Unternehmen mit jeweils mehr als 50 Prozent an weiteren Unternehmen beteiligt, zum Beispiel verschiedenen Gesellschaften mit beschränkter Haftung (GmbH). Die eine GmbH sitzt in Singapur, eine andere in der Schweiz und eine klitzekleine GmbH sitzt in … sagen wir Spanien. Muss sich jetzt wegen dieser klitzekleinen GmbH mit Sitz in Spanien auch die Konzernmutter in den USA an die DSGVO halten? Lösung gleich unten.

Bereits vor Inkrafttreten der DSGVO musste sich der Europäische Gerichtshof (EuGH) mit der Frage befassen, wann bei Konzernstrukturen von Niederlassungen auszugehen sei. Es handelt sich dabei um die sogenannte Google-Spain-Entscheidung vom Mai 2014 (Rechtssache C-131/12). Es ging dabei um die Frage, ob das europäische Datenschutzrecht auch für das damals in den USA ansässige Mutterunternehmen Google Inc. anwendbar sei, obwohl das Mutter-Unternehmen in Europa