Welche Personen sind durch das Gesetz geschützt?

Alle natürlichen Personen, die Gegenstand der Verarbeitung personenbezogener Daten sind.

Was ist mit personenbezogenen Daten gemeint?

Es handelt sich um “alle Informationen gleich welcher Art und unabhängig von ihrem Träger, einschließlich Ton- und Bilddateien, die sich auf eine bestimmte oder bestimmbare Person beziehen…; als bestimmbar wird eine natürliche Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, genetischen, psychischen, kulturellen, sozialen oder wirtschaftlichen Identität sind.”

Was ist mit Verarbeitung personenbezogener Daten gemeint?

Verarbeitung personenbezogener Daten ist “jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede Vorgangsreihe im Zusammenhang mit Daten wie das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Sperren, Löschen oder Vernichten.”

Wer ist für die Datenverarbeitung verantwortlich, wenn sie durchgeführt wird?

Das Gesetz definiert den für die Verarbeitung Verantwortlichen als “die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Werden die Zwecke und Mittel der Verarbeitung durch Rechtsvorschriften oder auf der Grundlage von Rechtsvorschriften bestimmt, so wird der für die Verarbeitung Verantwortliche durch oder auf der Grundlage von spezifischen Kriterien im Einklang mit den Rechtsvorschriften bestimmt.”

Grundsätzlich ist es die natürliche oder juristische Person, die entscheidet, die Datenverarbeitung in ihrem Namen zu veranlassen.

Welche Vorschriften und Bedingungen müssen von der Person eingehalten werden, die eine Verarbeitung personenbezogener Daten plant?

Der Zweck der Verarbeitung muss rechtmäßig sein

Die Verarbeitung personenbezogener Daten ist nur möglich, wenn ein hinreichend legitimer Grund vorliegt, der sie rechtfertigt.

Wer Daten verarbeiten will, muss grundsätzlich die Einwilligung der betroffenen Person einholen. In einer Reihe von Fällen ist die Datenverarbeitung jedoch für die ordnungsgemäße Erfüllung eines Vertrags, zur Erfüllung einer gemeinwirtschaftlichen Verpflichtung oder einer rechtlichen Verpflichtung oder zum Schutz des Lebens der von der Verarbeitung betroffenen Person erforderlich.

Der Zweck der Verarbeitung muss klar festgelegt und hervorgehoben werden

Die Verwendung personenbezogener Daten muss streng auf den zuvor ausdrücklich festgelegten Zweck beschränkt sein.

Die Verarbeitung muss also notwendig sein, um die von dem für die Verarbeitung Verantwortlichen vorher ausdrücklich festgelegten Zwecke zu erreichen. Die erhobenen Daten dürfen nur dann an Dritte weitergegeben werden, wenn der Verwendungszweck dieser Dritten genau derselbe ist.

Der Grundsatz der Verhältnismäßigkeit und der Erforderlichkeit

Dieser Grundsatz besagt, dass sich die Verarbeitung auf Daten beschränken muss, bei denen ein direkter Zusammenhang mit dem ursprünglichen Zweck der Verarbeitung besteht. Diese Daten müssen nicht nur nützlich, sondern für die Person, die sie verarbeitet, auch notwendig sein. Die verarbeiteten Daten dürfen also nicht über das hinausgehen, was zur Erreichung des Zwecks erforderlich ist.

Die verarbeiteten Daten müssen korrekt und aktuell sein

Die Verarbeitung muss fair sein

Die Erhebung, Speicherung, Verwendung und Übermittlung personenbezogener Daten muss in guter Absicht und nicht ohne Wissen der betroffenen Person erfolgen.

Die spätere Verwendung personenbezogener Daten zu anderen als den ursprünglich vorgesehenen Zwecken ist daher grundsätzlich untersagt.

Sicherheit und Vertraulichkeit der Daten

Personenbezogene Daten müssen vertraulich behandelt und an sicheren Orten und auf sicheren Geräten gespeichert werden.

Sensible Daten dürfen grundsätzlich nicht verarbeitet werden

Die Verarbeitung von Daten, die Aufschluss über Meinungen, Überzeugungen, Gesundheitszustand oder Sexualleben geben, ist verboten. Das Gesetz sieht jedoch einige Ausnahmefälle vor, in denen eine solche Verarbeitung möglich ist.

Wann dürfen personenbezogene Daten verarbeitet werden?

Nach dem Gesetz dürfen personenbezogene Daten nur verarbeitet werden,

  • wenn es zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, welcher der Verantwortliche unterliegt, oder
  • wenn es für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt und die dem Verantwortlichen oder den Dritten, denen die Daten übermittelt werden, obliegt, oder
  • wenn es für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder für die Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Antrag der betroffenen Person erfolgen, oder
  • wenn es zur Wahrung des berechtigten Interesses des Verantwortlichen oder des Dritten oder der Dritten, denen die Daten übermittelt werden, erforderlich ist, sofern die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen, oder
  • wenn es zur Wahrung der lebenswichtigen Interessen der betroffenen Person erforderlich ist, oder
  • wenn die betroffene Person ihre Einwilligung gegeben hat.

Unter welchen Bedingungen darf ein Arbeitgeber personenbezogene Daten zu Überwachungszwecken am Arbeitsplatz verarbeiten?

Artikel L. 261-1 des Arbeitsgesetzbuches legt daher fest, dass die Verarbeitung personenbezogener Daten zum Zweck der Überwachung von Arbeitnehmern durch den Arbeitgeber nur erfolgen darf wie sie in Artikel 6, Absatz 1, Buchstaben a) bis f) der Verordnung (EU) 2016/679 (DSGVO) genannt werden.

Nach der allgemeinen Regelung der Datenschutzgrundverordnung würde dies folgendes umfassen:

  • wenn die Verarbeitung der personenbezogenen Daten des Arbeitnehmers für die Erfüllung seines Arbeitsvertrags erforderlich ist, oder
  • wenn der Arbeitgeber einer gesetzlichen Verpflichtung unterliegt, die die Verarbeitung der personenbezogenen Daten des Arbeitnehmers erforderlich macht, oder
  • wenn ein berechtigtes Interesse des Arbeitgebers die Überwachung rechtfertigen könnte,

dass der Arbeitgeber die Verarbeitung der personenbezogenen Daten des Arbeitnehmers zu Überwachungszwecken in Betracht ziehen könnte.

Es sei darauf hingewiesen, dass der Arbeitgeber, wenn er sich zur Rechtfertigung der Überwachung auf sein legitimes Interesse beruft, bei der Durchführung einer solchen Überwachung sein eigenes legitimes Interesse gegen die Notwendigkeit abwägen muss, die Grundrechte und -freiheiten des betreffenden Arbeitnehmers zu schützen, wie z. B. sein Recht auf Privatsphäre am Arbeitsplatz, das Recht auf Achtung seines Images usw.

In all diesen Fällen ist stets zu prüfen, ob die Überwachung im Hinblick auf den Zweck, für den sie durchgeführt wird, verhältnismäßig und notwendig ist.

Neben dem Auskunftsrecht der betroffenen Person muss der Arbeitgeber vor der Durchführung der Überwachung den Personalausschuss oder andernfalls die Gewerbeaufsicht (ITM) informieren.

Diese Vorabinformation enthält eine ausführliche Beschreibung des Zwecks der geplanten Verarbeitung sowie die Modalitäten der Durchführung des Überwachungssystems und gegebenenfalls die Dauer oder die Kriterien für die Speicherung der Daten sowie eine förmliche Verpflichtung des Arbeitgebers, die erhobenen Daten nicht für andere als die in der Vorabinformation ausdrücklich vorgesehenen Zwecke zu verwenden.

Wenn die Überwachung durchgeführt wird :

  • für die Gesundheit und Sicherheit der Arbeitnehmer;
  • zur Kontrolle der Produktion oder der Leistung des Arbeitnehmers, wenn eine solche Maßnahme die einzige Möglichkeit ist, das genaue Gehalt zu bestimmen, oder
  • im Rahmen der Arbeitsorganisation auf Gleitzeitbasis

darf sie nur mit Zustimmung der Personalvertretung gemäß den Bestimmungen der Artikel L. 211-8, L. 414-9 des Arbeitsgesetzbuches durchgeführt werden, es sei denn, der Arbeitgeber kommt mit dieser Überwachung einer gesetzlichen oder behördlichen Verpflichtung nach.

Für jede Datenverarbeitung, die zu Überwachungszwecken am Arbeitsplatz durchgeführt wird, kann der Personalausschuss oder andernfalls die betroffenen Arbeitnehmer innerhalb von 15 Tagen nach der Vorabinformation einen Antrag auf eine vorherige Stellungnahme zur Konformität des Projekts der Datenverarbeitung zu Überwachungszwecken im Rahmen der Arbeitsbeziehungen an die Nationale Kommission für den Datenschutz (CNPD) richten, die ihre Stellungnahme innerhalb eines Monats nach der Befassung abgeben muss. Dieser Antrag hat während dieses Zeitraums aufschiebende Wirkung. Der Arbeitgeber darf daher die Überwachung nicht durchführen, bevor er die Stellungnahme der CNPD eingeholt hat. Die von der Überwachung betroffenen Arbeitnehmer haben außerdem das Recht, eine Klage bei der CNPD einzureichen. Eine solche Klage ist weder ein schwerwiegender Grund noch ein legitimer Kündigungsgrund.

Gesetzestext

Welche Rechte hat die betroffene Person in Bezug auf die Datenverarbeitung?

Jede von der Datenverarbeitung betroffene Person hat eine Reihe von Rechten. Diese Rechte werden durch die Verordnung (EU) 2016/679 erheblich erweitert.

Dabei handelt es sich um das Recht auf Information, das Recht auf Auskunft, das Recht auf Berichtigung, das Recht auf Löschung von Daten, das Recht auf Einschränkung der Verarbeitung, das Recht auf Datenübertragbarkeit, das Widerspruchsrecht, das Recht auf Widerspruch gegen die Erstellung von Profilen und die automatisierte Verarbeitung von Daten, das Klagerecht und den Entschädigungsanspruch.

Recht auf Information

Direkt bei der Person erhobene Daten

Die betroffene Person hat das Recht, zum Zeitpunkt der Erhebung der sie betreffenden Daten bei ihr über folgendes informiert zu werden:

  • die Identität und die Kontaktangaben des für die Verarbeitung Verantwortlichen;
  • gegebenenfalls die Kontaktangaben des Datenschutzbeauftragten;
  • den Zweck der Verarbeitung und ihre Rechtsgrundlage;
  • wenn die Verarbeitung auf dem berechtigten Interesse des für die Verarbeitung Verantwortlichen beruht, muss dessen berechtigtes Interesse angegeben werden;
  • der Empfänger oder die Empfänger der Daten;
  • die Dauer der Aufbewahrung der Daten oder die Kriterien, nach denen diese bestimmt werden;
  • das Bestehen weiterer Rechte (Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Daten usw.);
  • ob die Bereitstellung der Daten gesetzlich, vertraglich oder zwingend vorgeschrieben ist oder nicht und welche Folgen eine Verweigerung hat;
  • das Bestehen einer automatisierten Entscheidungsfindung oder das Erstellen eines Profils;
  • gegebenenfalls die Verwendung der Daten für einen anderen Zweck.

Nicht bei der betroffenen Person erhobene Daten

Wenn die Daten nicht direkt bei der betroffenen Person erhoben werden:

  • muss die Quelle der Daten angegeben werden, wobei anzugeben ist, ob die Quelle öffentlich zugänglich ist oder nicht, und
  • muss der für die Verarbeitung Verantwortliche die oben genannten Informationen bereitstellen:
    • innerhalb einer angemessenen Frist nach Erhalt der personenbezogenen Daten, jedoch nicht länger als einen Monat, oder
    • wenn die personenbezogenen Daten zum Zweck der Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Kommunikation mit der betroffenen Person, oder
    • wenn beabsichtigt ist, die Informationen an einen anderen Empfänger weiterzugeben, spätestens bei der ersten Übermittlung der personenbezogenen Daten.

Es sollte auch darauf hingewiesen werden, dass eine Person immer das Recht hat, auf Anfrage innerhalb eines Monats informiert zu werden, sowie über jede Datenverletzung informiert zu werden.

Recht auf Zugang

Die betroffene Person hat das Recht, die mit den Informationen verarbeiteten Daten gemäß dem Auskunftsrecht einzusehen und eine kostenlose Kopie der Daten zu erhalten. Es ist zu beachten, dass der für die Verarbeitung Verantwortliche eine angemessene Gebühr für zusätzliche Kopien erheben kann, wenn diese angefordert werden.

Recht auf Berichtigung

Dies ist das Recht, so schnell wie möglich die Berichtigung unrichtiger Daten zu verlangen, sowie das Recht, unvollständige Daten zu vervollständigen.

Recht auf schnellstmögliche Löschung der Daten

Dieses Recht gilt, sobald die Daten für den Zweck nicht mehr erforderlich sind, wenn die Verarbeitung auf einer Einwilligung beruht und die Einwilligung widerrufen wird, im Falle der begründeten Ausübung des Widerspruchsrechts, wenn die Verarbeitung der Daten unrechtmäßig ist, wenn die Löschung erforderlich ist, um die Einhaltung einer rechtlichen Verpflichtung zu gewährleisten, wenn die Daten im Rahmen von Diensten für Kinder/Jugendliche unter 16 Jahren erhoben werden.

Es sei darauf hingewiesen, dass es Ausnahmen von der Ausübung dieses Rechts gibt, insbesondere in folgenden Fällen:

  • Ausübung des Rechts auf freie Meinungsäußerung/Information ;
  • Notwendigkeit, die Einhaltung einer rechtlichen Verpflichtung zu gewährleisten ;
  • öffentliches Interesse im Zusammenhang mit der öffentlichen Gesundheit;
  • Archivierung im öffentlichen Interesse, wissenschaftliche oder historische Forschung, Statistiken;
  • Rechtsbeistand.

Recht auf Widerspruch

Erfolgt die Verarbeitung in Wahrnehmung einer öffentlichen Aufgabe oder beruht sie auf dem berechtigten Interesse des für die Verarbeitung Verantwortlichen, so hat die betroffene Person das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, gegen die Verarbeitung Widerspruch einzulegen, sofern nicht das öffentliche Interesse überwiegt.

Darüber hinaus hat jede Person das Recht, der Verarbeitung ihrer Daten für Marketingzwecke zu widersprechen, einschließlich des Erstellen eines Profils im Zusammenhang mit einem solchen Marketing.

Recht auf Einschränkung der Verarbeitung

Dieses Recht kann bei der Überprüfung von Daten ausgeübt werden, wenn Zweifel an der Richtigkeit der Daten bestehen, oder wenn die Verarbeitung unrechtmäßig ist und die betroffene Person gegen die Löschung Einspruch erhebt, aber die Einschränkung verlangt, oder wenn der für die Verarbeitung Verantwortliche die Daten nicht mehr benötigt, die betroffene Person sie aber zur Verteidigung ihrer Rechte benötigt, oder wenn die betroffene Person Einspruch gegen die Verarbeitung erhebt und die Verarbeitung dann für den Zeitraum eingeschränkt wird, der erforderlich ist, um zu prüfen, ob berechtigte Gründe des für die Verarbeitung Verantwortlichen überwiegen.

Recht auf Übertragbarkeit

Beruht die Verarbeitung auf der Einwilligung der betroffenen Person oder wird die Verarbeitung mit Hilfe automatisierter Verfahren durchgeführt, so hat die betroffene Person das Recht zu verlangen, dass die Daten von dem für die Verarbeitung Verantwortlichen automatisch an einen anderen für die Verarbeitung Verantwortlichen übermittelt werden.

Erstellen eines Profils und automatisierte Datenverarbeitung

Jede Person hat das Recht, gegen eine Entscheidung, die auf einer automatisierten Verarbeitung – einschließlich Erstellen eines Profils – beruht, Widerspruch einzulegen, wenn diese Entscheidung rechtliche Folgen nach sich zieht oder die Person erheblich beeinträchtigt. Es sei denn, die Verarbeitung ist für den Abschluss/die Erfüllung eines Vertrags erforderlich oder beruht auf der ausdrücklichen Einwilligung der betroffenen Person oder ist nach dem europäischen oder nationalen Recht des für die Verarbeitung Verantwortlichen zulässig.

VORSICHT BEI SENSIBLEN DATEN: Diese dürfen nur verarbeitet werden, wenn die betroffene Person ausdrücklich zugestimmt hat oder wenn es im öffentlichen Interesse liegt und geeignete Maßnahmen zum Schutz der Rechte und Freiheiten getroffen wurden.

Recht auf Klage

Jede natürliche Person kann bei der CNPD eine Klage wegen Verletzung ihrer Rechte auf der Grundlage der Rechtsvorschriften über den Schutz personenbezogener Daten einreichen. Die CNPD unterrichtet den Beschwerdeführer über den Stand und das Ergebnis der Klage.

Recht auf Entschädigung

Der für die Verarbeitung Verantwortliche muss der betroffenen Person den entstandenen Schaden ersetzen, es sei denn, er kann nachweisen, dass er nicht verantwortlich ist.

Recht auf Berufung

Das Gesetz sieht auch ein Berufungsrecht gegen einen für die Datenverarbeitung Verantwortlichen vor, sogar gegen die Entscheidungen der CNPD, sowie das Recht, sich durch eine gemeinnützige Organisation/Vereinigung vertreten zu lassen, die im Bereich des Schutzes der Rechte und Freiheiten natürlicher Personen im Hinblick auf den Schutz personenbezogener Daten tätig ist.

Weitere Informationen

Veröffentlichung der CSL

SocioNews

Download: Newsletter Nr. 6-2018