#006 Sicherheitsdienst meets Datenschutz
Sicherheitsdienst meets Datenschutz.
Wann und warum braucht ein Sicherheitsdienst einen Datenschutzbeauftragten?
Wann und warum müssen bzw. sollten Sicherheitsdienstleister einen Datenschutzbeauftragten (DSB) benennen? In diesem Blogbeitrag erklären wir, wann Sie einen DSB benötigen.
Welche Grundlagen gelten für alle Unternehmen? Und gelten diese auch für Sicherheitsdienstleister?
In Deutschland gelten die EU-Datenschutzgrundverordnung (EU-DSGVO) und das Bundesdatenschutzgesetzt (BDSG).
Die DSGVO gilt als EU-Verordnung allgemein, unmittelbar und vorrangig. Das bedeutet, dass in allen europäischen Mitgliedsländern alle nationalen Vorgaben nach der DSGVO kommen. Die DSGVO gibt somit den Rahmen für den fairen Wettbewerb innerhalb der EU im Datenschutz vor.
Neben der DSGVO gibt es weiterhin das BDSG in Deutschland (Öffnungsklauseln der DSGVO). Diese erlauben es die Regeln an bestimmten Stellen zu erweitern, sofern das Schutzniveau der DSGVO eingehalten wird. Der deutsche Gesetzgeber hat davon beispielsweise bei den Vorgaben für die Notwendigkeit eines DSB, über das BDSG, Gebrauch gemacht.
Der Datenschutz und damit auch die DSGVO beziehen sich immer auf personenbezogene Daten.
„personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;“ (Art. 4 Nr. 1 DSGVO)
Somit gilt: Wann immer Daten verarbeitet werden, die von einer bestimmbaren „natürlichen“ Person stammen, sind personenbezogene Daten gemeint. Ein Dienstausweis, der die Bewacherregisternummer trägt, beinhaltet also ein personenbezogenes Datum.
Für Sicherheitsunternehmen heißt das: Die DSGVO gilt von der Verwaltung der Kundendatei bis zum Schichtplan des Personals.
Wann benötige ich einen DSB in meinem Unternehmen?
Wie für alle Unternehmen in der EU, gelten auch für Sicherheitsdienste die Regeln des Art. 37 DSGVO und § 38 BDSG (mind. 20 Personen ständig mit der automatisierten Verarbeitung (z.B. E-Mail oder SMS senden) personenbezogener Daten beschäftigt sind und/oder eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO durchführen müssen). Der erweiterte Blick ins Gesetz zeigt, dass Sicherheitsunternehmen dazu verpflichtet sind, einen DSB zu benennen, wenn sie im Rahmen ihrer Kerntätigkeit personenbezogene Daten verarbeiten, die z.B. in Art. 9 DSGVO (z. B. Gesundheitsdaten (z.B. bei Unfällen) in Leitstellen im Werkschutz) in Verbindung mit Art. 35 DSGVO genannt sind.
Wann ist eine Datenschutz-Folgenabschätzung vorzunehmen?
Grundsätzlich ergibt sich die Erstellung einer DSFA aus einer Risikoabschätzung der Verarbeitungsvorgänge. Ist ein hohes Risiko für Betroffene zu erwarten, muss eine DSFA nach Art. 35 DSGVO durchgeführt werden. Art. 35 Abs. 3 benennt hier folgende Fälle:
- systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlicher Weise erheblich beeinträchtigen;
- umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10;
- systematische weiträumige Überwachung öffentlich zugänglicher Bereiche.
In Art. 35 Abs. 4 ist geregelt, dass die Aufsichtsbehörden, aufbauend auf den Leitlinien der Artikel 29-Datenschutzgruppe, eine Blacklist für die Fälle, in denen eine DSFA zwingend erforderlich ist, erstellen. Viele Landesdatenschutzbehörden verlinken auf ihren Webseiten auf die gemeinsam abgestimmte Liste der Datenschutzkonferenz (DSK). Einige Länder stellen aber auch eigene Listen zur Verfügung (nicht-öffentlicher Bereich). (siehe weiter unten)
Datenschutz-Folgenabschätzungen dürften in vielen Sicherheitsunternehmen notwendig sein
Ein Blick in die Muss-Liste der Aufsichtsbehörden (siehe DSK „Liste der Verarbeitungstätigkeiten, für die eine DSFA durchzuführen ist“) verdeutlich, dass in einem Sicherheitsunternehmen einige der genannten Verarbeitungsvorgänge Anwendung finden.
- Zum einen sind Unternehmen, die ihre Mitarbeitenden mittels GPS-tracken verpflichtet eine DSFA durchzuführen (Beschäftigungskontext der Einsatz von Ortungssystemen). Die Durchführung einer DSFA bei der Verwendung von Ortungssystem (im Fahrzeug, im Smartphone, etc.) ist in der Muss-Liste und den vorliegenden Urteilen ableitbar. Die Gerichte beschreiben, dass hohe Risiken mit der Geolokalisierung verbunden sind.
- Zum anderen sind Sicherheitsunternehmen zur Durchführung einer DSFA verpflichtet, wenn sie Hilfsmittel zur Erstellung von Bewegungsprofilen anhand der Position von Wachpersonal (Wächter-Kontroll-System) nutzen. Es besteht nach Ansicht der Datenschutzbehörden das Risiko, dass sich aus der Nutzung solcher Technologien „Rechtsfolgen für die Betroffenen ergeben“ oder die Beschäftigten „in anderer Weise erheblich beeinträchtigt werden“. Gemeint ist hier sicherlich, dass anhand eines erstellten Bewegungsprofils Leistungsmessungen stattfinden und/oder arbeitsrechtliche Konsequenzen auf Grundlage der Bewegungsprofile abgeleitet werden können.
- Ein weitere Verarbeitungstätigkeit ist eine „Verwendung von biometrischen Systemen zur Zutrittskontrolle oder für Abrechnungszwecke“. Sicherheitsunternehmen, die zum Beispiel mit Fingerabdrucksensoren Zutrittsregelungen durchführen, müssen ebenfalls eine DSFA vornehmen.
DSFA = Verbot? NEIN.
Die Verpflichtung zur Durchführung einer DSFA dient der Erhebung von Risiken, der Ableitung von Maßnahmen und der vorherigen Abstimmung mit der zuständigen Datenschutzbehörde (Art. 36 Abs. 1 DSGVO). Ziel der DSFA ist es klar darzustellen für welche Zwecke die Daten erhoben werden, warum dies notwendig ist und dass die Rechte der Betroffenen gewahrt werden (Art. 35 Abs. 7 DSGVO). Grundsätzlich ist also gegen den Einsatz der genannten Anwendungszwecke nichts einzuwenden, solange sie datenschutzkonform eingesetzt werden. Es wäre aber unzulässig, wenn die GPS-Daten eines Flottenfahrzeugs beispielsweise drei Monate lang gespeichert werden, wenn der Zweck der Schutz des Mitarbeiters ist. Hier würde eine Datenschutzbehörde eine wesentlich kürzere Speicherdauer annehmen.
Um eine DSFA durchzuführen, ist einiges an fachlichem, technischem und rechtlichem Wissen notwendig. In der DSGVO ist deshalb eine fachkundige Begleitung durch einen DSB vorgeschrieben. Um die Einhaltung der Rechte der Betroffen (z.B. der Mitarbeiter) zu gewährleisten, fordert das BDSG einen DSB, wenn eine DSFA durchzuführen ist.
Externer Datenschutzbeauftragter zulässig und sinnvoll
Insbesondere für kleine Sicherheitsunternehmen wird es eine Herausforderung die Anforderungen an deinen DSB und das notwendige Fachwissen durch eigene Mitarbeiter zu erfüllen. Aufgrund der Verpflichtung zur Vermeidung von Interessenskonflikten können Mitarbeiter des Managements (z.B. Geschäftsführung, Verantwortliche für das operative Geschäft, IT-Verantwortliche oder Leitung der Personalabteilung) nicht für diese Position genommen werden. Als Faustregel gilt, dass die Person die Zwecke und Mittel der Verarbeitung personenbezogener Daten nicht festlegen darf. Aufgrund der besonderen arbeitsrechtlichen Stellung des DSB, kann es aus unternehmerischer Sicht sinnvoll sein, auf die Bestellung eines eigenen Mitarbeiters zum DSB zu verzichten. (u.a. Kündigungsschutz)
Die DSGVO lässt dem Unternehmer die Option offen, einen externen DSB zu bestellen. Das bedeutet, dass Unternehmen einen Dienstleister beauftragen, der die Funktion des DSB übernimmt(Art. 37 Abs. 6 DSGVO). In diesem Fall ist ein Interessenskonflikt ausgeschlossen und es gelten keine besonderen arbeitsrechtlichen Regelungen. Ein weiterer Vorteil ist, dass die Haftung im besonderen Fällen für die Datenschutzberatung auf den Dienstleister übertragen werden kann.
Muss-Listen Datenschutzbehörden.
Niedersachsen
Baden-Württemberg
Bayern
https://www.datenschutz-bayern.de/dsfa/
Berlin
Brandenburg
https://www.lda.brandenburg.de/sixcms/media.php/9/DSFA_Muss_Liste_Allgemein_17102018.4041740.pdf
Bremen
https://www.datenschutz.bremen.de/sixcms/media.php/13/DSFA%20Muss-Liste%20LfDI%20HB.pdf
Hamburg
https://datenschutz-hamburg.de/dsgvo-information/art-35-mussliste-nicht-oeffentlich/
Hessen
Mecklenburg-Vorpommern
Verweist auf die DSK Liste.
Nordrhein-Westfalen
Verweist auf die DSK Liste.
Rheinland-Pfalz
Saarland
https://www.datenschutz.saarland.de/fileadmin/user_upload/uds/Download/dsfa_muss_liste_dsk_de.pdf
Sachsen
https://www.saechsdsb.de/images/stories/sdb_inhalt/DSGVO/DSFA/DSFA_Muss-Liste_V1_20180606.pdf
Sachsen-Anhalt
Schleswig-Holstein
Verweist auf die DSK Liste.
Thüringen
https://www.tlfdi.de/fileadmin/tlfdi/datenschutz/dsfa_muss-liste_04_07_18.pdf