Zentrum für Datenschutz | Ingenieurbüro für Internet & IT-Consulting

Auf dieser Seite geben wir Ihnen Antworten auf die wichtigsten Fragen zur Datenschutzgrundverordnung (DSGVO). Die Fragen und Antworten sollen Ihnen einen ersten Einblick geben, erheben keinen Anspruch auf Vollständigkeit und ersetzen auch nicht die Beratung im Einzelfall.

Neben der Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten (Kapitel 2 Art. 5 bis 11 der DSGVO) und der Gewährleistung der Betroffenenrechte (Kapitel 3 Art. 12 bis 23 der DSGVO) sind folgende Punkte zu prüfen:

  • Das Führen eines Verzeichnisses der Verarbeitungstätigkeiten
  • Anforderungen an die Auftragsverarbeitung
  • Sicherstellung von technischen und organisatorischen Maßnahmen zur Gewährleistung von Datensicherheit und Datenschutz
  • Die Meldung von Datenschutzverletzungen an die Aufsichtsbehörde und die Benachrichtigung von betroffenen Personen
  • Gegebenenfalls die Durchführung von Datenschutz-Folgenabschätzungen
  • Gegebenenfalls die Benennung eines Datenschutzbeauftragten

Ein Datenschutzbeauftragter muss bestellt werden, wenn mindestens 20 Mitarbeiter regelmäßig mit Verarbeiteitung personenbezogener Datenverarbeitung beschäftigt sind.

Unabhägig von der Mitarbeiterzahl gilt diese Pflicht auch dann:

  1. wenn besondere Kategorien von personenbezogenen Daten (z. B. über politische/religiöse Überzeugungen, Ethnie/Rasse, Gesundheit, ...) verarbeitet werden.
  2. wenn die Kerntätigkeit des Unternehmens in der Erhebung, Verarbeitung, Nutzung oder Übermittlung von personenbezogenen Daten liegt.
  3. Datenverarbeitungen, die einer Datenschutz-Folgenabschätzung nach Artikel 35 Datenschutzgrundverordnung (DSGVO) unterliegen.

Die Vorgaben wann ein Datenschutzbeauftragter im Unternehmen, im Verein oder in einer Behörde eingesetzt werden muss, finden sich zum einen in Artikel 37 Datenschutzgrundverordnung (DSGVO) und zum anderen in § 38 Bundesdatenschutzgesetz (BDSG-neu).

Stellt die Aufsichtsbehörde einen Verstoß gegen die Datenschutz-Grundverordnung fest, kann die Behörde verwarnen oder Anordnungen wie Verarbeitungsverbote aussprechen aber auch Geldbußen von bis zu 20 Millionen € oder 4 Prozent des weltweiten Jahresumsatzes verhängen.

Betroffene Personen können Klagen bei den zuständigen Gerichten einreichen und eventuell Anspruch auf Schadensersatz geltend machen.

Auftragsverarbeitung bezeichnet den Vorgang, in dem eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet. Nach Maßgabe des Art. 28 Abs. 3 DS-GVO schließen Verantwortliche und Auftragsverarbeiter über die Auftragsverarbeitung einen Vertrag.

Weitere Information hierzu finden Sie unter: DSK Kurzpapier Nr. 13.

Jeder Verantwortliche (im Unternehmen, im Verein, ...) und jeder Auftragsverarbeiter erstellen und führen ein Verzeichnis (bzw. eine Dokumentation) aller Verarbeitungstätigkeiten bei den personenbezogenen Daten verarbeitet werden. Eine Beispiel für eine solche Verarbeitungstätigkeit im Unternehmen ist die Lohnbuchhaltung.

Das Verzeichnis von Verarbeitungstätigkeiten dient als wesentliche Grundlage für eine strukturierte Datenschutzdokumentation und hilft dem Verantwortlichen dabei, gemäß Art. 5 Abs. 2 Datenschutzgrundverordnung (DS-GVO) nachzuweisen, dass die Vorgaben aus der DSGVO eingehalten werden (Rechenschaftspflicht).
Das Verarbeitungsverzeichnis stellt somit ein wesentliches Element für die Etablierung eines umfassenden Datenschutz- und Informationssicherheits-Managementsystems dar.

Wer personenbezogene Daten verarbeitet, sollte diese Daten mittels technischer und organisatorischer Maßnahmen, entsprechend dem neusten Stand der Technik, ausreichend schützen.

Der Begriff bzw. die Maßnahmen beinhalten alle konkreten Vorkehrungen, die eine Organisation (Unternehmen, Behörde, Verein, ...) trifft, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Die Vorgaben zu den technischen und organisatorischen Maßnahmen sind in Art. 32 DSGVO geregelt.

Gegebenenfalls sollten folgendes Maßnahmen getroffen werden:

  • Die Pseudonymisierung und Verschlüsselung personenbezogener Daten.
  • Die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen.
  • Die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.
  • Ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Ein Beispiel: Wird ein Defekt an einer Festplatte festgestellt, sollten die gespeicherten Daten mittels einer Datensicherung gesichert sein und die Daten auf einer neuen Festplatte wiederhergestellt werden können.

Datenkategorien sind in der DSGVO nicht eindeutig gesetzlich formuliert. Man kann sagen, dass eine Datenkategorie mehrere Einzeldaten beinhaltet.
In der DSGVO sind aber einige Datenkategorien als besonders benannt, da diese einen höheren Schutzbedarf benötigen. Diese Datenkategorien sind in Art. 9 DSGVO - Verarbeitung besonderer Kategorien personenbezogener Daten - explizit benannt.

Beispielhaft können folgende Kategorien von personenbezogenen Daten genannt werden:

KategorieBeschreibung
Abodaten  
Abrechnungsdaten Lohnabrechnungen, Reisekosten- und Spesenabrechnungen, Leistungsabrechnung aus dem Vertrag, Steuerdaten
Abstammungsdaten  
Accountdaten  
Adressdaten Straße, Hausnummer, PLZ, Ort, Land
allgemeine Personendaten Name, Geburtsdatum, Alter, Geburtsort, Anschrift, Emailadresse, Telefonnummer, Foto, Ausbildung, Beruf, Familienstand, Staatsangehörigkeit, Urlaubsplanung, ...
Audio- und Sprachdaten  
Bankdaten Name der Bank, BIC und IBAN, Kontoinhaber
Behandlungsdaten  
Behördendaten Adresse, Kontaktdaten und Zuständigkeiten des Behördenmitarbeiters, Funktion der Behörde, Bebauungspläne, Verkehrspläne
Besitzmerkmale Eigentum an einer Immobilie, Fahrzeugeigentümer /- Halter, Kfz-Kennzeichen, Fahrgestell-Nr., ...
Besondere Kategorien personenbezogener Daten zur rassischen und ethnischen Herkunft,
zu politischen Meinungen,
zu religiösen oder weltanschaulichen Überzeugungen,
zu einer Gewerkschaftszugehörigkeit,
zum Sexualleben oder sexuellen Orientierung,
genetische (Art. 4 Nr. 13 DSGVO) und biometrische (Art. 4 Nr. 14 DSGVO) Daten
sowie Gesundheitsdaten (Definition Art. 4 Nr. 15 DSGVO)
Bewerberdaten Alle Daten die im Wege einer Bewerbung dem Verantwortlichen zugesendet werden, wie z.B. Personendaten, Lebenslauf, Qualifikationen, Hobbys
Bild- und Videodaten  
Bonitätsdaten Kapitalbeteiligungen, Kredite, Ausgaben, Einnahmen, Vermögen, Schulden, usw.
demografische Daten Alter, Geschlecht
Gewährleistungsdaten Daten, welche besagen, wann und in welchem Umfang eine gesetzliche Gewährleistung fällig wird
Kennnummern Sozialversicherungsnummer, Steueridentifikationsnummer, Krankenversicherungsnummer, Personalausweisnummer, Matrikelnummer, ...
Kommunikationsdaten  
Kontaktdaten Name, Anschrift, E-Mail-Adresse, Telefonnummern
Leistungsdaten Testergebnisse, Bewertungsergebnisse, Beurteilungsergebnisse
Lieferdaten Waren und Warenmengen, Lieferorte und Lieferzeitpunkte, Empfänger, Versender
Logindaten  
Metadaten eMail (Header), Fotos (exif), Office- und PDF-Dateien, Telekommunikationsdaten, Verbindungsdaten, Cookies, ...
Mitarbeiterdaten Ein- und Austritt im Unternehmen, Name, Funktion, Tätigkeit, interne Kontaktdaten, wie Telefonnummer und E-Mail-Adresse
Nachrichteninhalte  
Nutzerdaten  
Nutzungsdaten Merkmale zur Identifikation des Nutzers, Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und Angaben über die vom Nutzer in Anspruch genommenen Telemedien legaldefiniert in § 15 TMG
Nutzungshistorie  
Onlinedaten IP-Adresse, aufgerufenen Webseiten, heruntergeladenen Dokumente, Zeit des Zugriffs, Zugriffsdauer, verwendetes Endgerät, Betriebssystem, Browser, ...
Patientendaten  
Personendaten Vor- und Nachname, Geburtsdatum, Sterbedatum, Adresse
Persönliche Leistungsdaten  
Positionsdaten  
Präferenzen und Vorlieben  
Qualifikationsdaten Lebensläufe, Zeugnisse, Zertifikatsdaten, Fortbildungsdaten
sachliche Verhältnisse Einkommen, Entgeltgruppe, Vermögen, Schulden, ...
Schadensdaten Schadenart, Schadentag, Schadenort, Schadenobjekt
Sozialdaten Beziehungsstatus, verheiratet, geschieden, verwitwet, Kinder
Stammdaten Name, Vorname, Geburtstag, Nationalität, Fahrerlaubnisse, Behinderungen, Steuernummer, Unterhaltsverpflichtungen, Lohnpfändung
Studierendendaten Teilnahme an Veranstaltungen, Noten, Beurteilungen
Verhaltensdaten Abmahnungen, Ermahnungen, Belobigungen, Beurteilungen durch Vorgesetzte, Jahresgespräche
Versicherungsdaten Sozialversicherungsnummer, Rentenversicherung, private Altersvorsorge, Arbeitslosen- und Pflegeversicherung
Vertragsdaten Beginn, Laufzeit, Beendigung, Vergütung, Inhalt
Werturteile Schulzeugnis, Arbeitszeugnis, ...
 

Wir werden die Fragen und Antworten von Zeit zu Zeit ergänzen.