Auf dieser Seite geben wir Ihnen Antworten auf die wichtigsten Fragen zur Datenschutzgrundverordnung (DSGVO). Die Fragen und Antworten sollen Ihnen einen ersten Einblick geben, erheben keinen Anspruch auf Vollständigkeit und ersetzen auch nicht die Beratung im Einzelfall.
Neben der Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten (Kapitel 2 Art. 5 bis 11 der DSGVO) und der Gewährleistung der Betroffenenrechte (Kapitel 3 Art. 12 bis 23 der DSGVO) sind folgende Punkte zu prüfen:
- Das Führen eines Verzeichnisses der Verarbeitungstätigkeiten
- Anforderungen an die Auftragsverarbeitung
- Sicherstellung von technischen und organisatorischen Maßnahmen zur Gewährleistung von Datensicherheit und Datenschutz
- Die Meldung von Datenschutzverletzungen an die Aufsichtsbehörde und die Benachrichtigung von betroffenen Personen
- Gegebenenfalls die Durchführung von Datenschutz-Folgenabschätzungen
- Gegebenenfalls die Benennung eines Datenschutzbeauftragten
Ein Datenschutzbeauftragter muss bestellt werden, wenn mindestens 20 Mitarbeiter regelmäßig mit Verarbeiteitung personenbezogener Datenverarbeitung beschäftigt sind.
Unabhägig von der Mitarbeiterzahl gilt diese Pflicht auch dann:
- wenn besondere Kategorien von personenbezogenen Daten (z. B. über politische/religiöse Überzeugungen, Ethnie/Rasse, Gesundheit, ...) verarbeitet werden.
- wenn die Kerntätigkeit des Unternehmens in der Erhebung, Verarbeitung, Nutzung oder Übermittlung von personenbezogenen Daten liegt.
- Datenverarbeitungen, die einer Datenschutz-Folgenabschätzung nach Artikel 35 Datenschutzgrundverordnung (DSGVO) unterliegen.
Die Vorgaben wann ein Datenschutzbeauftragter im Unternehmen, im Verein oder in einer Behörde eingesetzt werden muss, finden sich zum einen in Artikel 37 Datenschutzgrundverordnung (DSGVO) und zum anderen in § 38 Bundesdatenschutzgesetz (BDSG-neu).
Stellt die Aufsichtsbehörde einen Verstoß gegen die Datenschutz-Grundverordnung fest, kann die Behörde verwarnen oder Anordnungen wie Verarbeitungsverbote aussprechen aber auch Geldbußen von bis zu 20 Millionen € oder 4 Prozent des weltweiten Jahresumsatzes verhängen.
Betroffene Personen können Klagen bei den zuständigen Gerichten einreichen und eventuell Anspruch auf Schadensersatz geltend machen.
Auftragsverarbeitung bezeichnet den Vorgang, in dem eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet. Nach Maßgabe des Art. 28 Abs. 3 DS-GVO schließen Verantwortliche und Auftragsverarbeiter über die Auftragsverarbeitung einen Vertrag.
Weitere Information hierzu finden Sie unter: DSK Kurzpapier Nr. 13.
Jeder Verantwortliche (im Unternehmen, im Verein, ...) und jeder Auftragsverarbeiter erstellen und führen ein Verzeichnis (bzw. eine Dokumentation) aller Verarbeitungstätigkeiten bei den personenbezogenen Daten verarbeitet werden. Eine Beispiel für eine solche Verarbeitungstätigkeit im Unternehmen ist die Lohnbuchhaltung.
Das Verzeichnis von Verarbeitungstätigkeiten dient als wesentliche Grundlage für eine strukturierte Datenschutzdokumentation und hilft dem Verantwortlichen dabei, gemäß Art. 5 Abs. 2 Datenschutzgrundverordnung (DS-GVO) nachzuweisen, dass die Vorgaben aus der DSGVO eingehalten werden (Rechenschaftspflicht).
Das Verarbeitungsverzeichnis stellt somit ein wesentliches Element für die Etablierung eines umfassenden Datenschutz- und Informationssicherheits-Managementsystems dar.
Wer personenbezogene Daten verarbeitet, sollte diese Daten mittels technischer und organisatorischer Maßnahmen, entsprechend dem neusten Stand der Technik, ausreichend schützen.
Der Begriff bzw. die Maßnahmen beinhalten alle konkreten Vorkehrungen, die eine Organisation (Unternehmen, Behörde, Verein, ...) trifft, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Die Vorgaben zu den technischen und organisatorischen Maßnahmen sind in Art. 32 DSGVO geregelt.
Gegebenenfalls sollten folgendes Maßnahmen getroffen werden:
- Die Pseudonymisierung und Verschlüsselung personenbezogener Daten.
- Die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen.
- Die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.
- Ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Ein Beispiel: Wird ein Defekt an einer Festplatte festgestellt, sollten die gespeicherten Daten mittels einer Datensicherung gesichert sein und die Daten auf einer neuen Festplatte wiederhergestellt werden können.
Datenkategorien sind in der DSGVO nicht eindeutig gesetzlich formuliert. Man kann sagen, dass eine Datenkategorie mehrere Einzeldaten beinhaltet.
In der DSGVO sind aber einige Datenkategorien als besonders benannt, da diese einen höheren Schutzbedarf benötigen. Diese Datenkategorien sind in Art. 9 DSGVO - Verarbeitung besonderer Kategorien personenbezogener Daten - explizit benannt.
Beispielhaft können folgende Kategorien von personenbezogenen Daten genannt werden:
| Kategorie | Beschreibung |
|---|---|
| Abodaten | |
| Abrechnungsdaten | Lohnabrechnungen, Reisekosten- und Spesenabrechnungen, Leistungsabrechnung aus dem Vertrag, Steuerdaten |
| Abstammungsdaten | |
| Accountdaten | |
| Adressdaten | Straße, Hausnummer, PLZ, Ort, Land |
| allgemeine Personendaten | Name, Geburtsdatum, Alter, Geburtsort, Anschrift, Emailadresse, Telefonnummer, Foto, Ausbildung, Beruf, Familienstand, Staatsangehörigkeit, Urlaubsplanung, ... |
| Audio- und Sprachdaten | |
| Bankdaten | Name der Bank, BIC und IBAN, Kontoinhaber |
| Behandlungsdaten | |
| Behördendaten | Adresse, Kontaktdaten und Zuständigkeiten des Behördenmitarbeiters, Funktion der Behörde, Bebauungspläne, Verkehrspläne |
| Besitzmerkmale | Eigentum an einer Immobilie, Fahrzeugeigentümer /- Halter, Kfz-Kennzeichen, Fahrgestell-Nr., ... |
| Besondere Kategorien personenbezogener Daten | zur rassischen und ethnischen Herkunft, zu politischen Meinungen, zu religiösen oder weltanschaulichen Überzeugungen, zu einer Gewerkschaftszugehörigkeit, zum Sexualleben oder sexuellen Orientierung, genetische (Art. 4 Nr. 13 DSGVO) und biometrische (Art. 4 Nr. 14 DSGVO) Daten sowie Gesundheitsdaten (Definition Art. 4 Nr. 15 DSGVO) |
| Bewerberdaten | Alle Daten die im Wege einer Bewerbung dem Verantwortlichen zugesendet werden, wie z.B. Personendaten, Lebenslauf, Qualifikationen, Hobbys |
| Bild- und Videodaten | |
| Bonitätsdaten | Kapitalbeteiligungen, Kredite, Ausgaben, Einnahmen, Vermögen, Schulden, usw. |
| demografische Daten | Alter, Geschlecht |
| Gewährleistungsdaten | Daten, welche besagen, wann und in welchem Umfang eine gesetzliche Gewährleistung fällig wird |
| Kennnummern | Sozialversicherungsnummer, Steueridentifikationsnummer, Krankenversicherungsnummer, Personalausweisnummer, Matrikelnummer, ... |
| Kommunikationsdaten | |
| Kontaktdaten | Name, Anschrift, E-Mail-Adresse, Telefonnummern |
| Leistungsdaten | Testergebnisse, Bewertungsergebnisse, Beurteilungsergebnisse |
| Lieferdaten | Waren und Warenmengen, Lieferorte und Lieferzeitpunkte, Empfänger, Versender |
| Logindaten | |
| Metadaten | eMail (Header), Fotos (exif), Office- und PDF-Dateien, Telekommunikationsdaten, Verbindungsdaten, Cookies, ... |
| Mitarbeiterdaten | Ein- und Austritt im Unternehmen, Name, Funktion, Tätigkeit, interne Kontaktdaten, wie Telefonnummer und E-Mail-Adresse |
| Nachrichteninhalte | |
| Nutzerdaten | |
| Nutzungsdaten | Merkmale zur Identifikation des Nutzers, Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und Angaben über die vom Nutzer in Anspruch genommenen Telemedien legaldefiniert in § 15 TMG |
| Nutzungshistorie | |
| Onlinedaten | IP-Adresse, aufgerufenen Webseiten, heruntergeladenen Dokumente, Zeit des Zugriffs, Zugriffsdauer, verwendetes Endgerät, Betriebssystem, Browser, ... |
| Patientendaten | |
| Personendaten | Vor- und Nachname, Geburtsdatum, Sterbedatum, Adresse |
| Persönliche Leistungsdaten | |
| Positionsdaten | |
| Präferenzen und Vorlieben | |
| Qualifikationsdaten | Lebensläufe, Zeugnisse, Zertifikatsdaten, Fortbildungsdaten |
| sachliche Verhältnisse | Einkommen, Entgeltgruppe, Vermögen, Schulden, ... |
| Schadensdaten | Schadenart, Schadentag, Schadenort, Schadenobjekt |
| Sozialdaten | Beziehungsstatus, verheiratet, geschieden, verwitwet, Kinder |
| Stammdaten | Name, Vorname, Geburtstag, Nationalität, Fahrerlaubnisse, Behinderungen, Steuernummer, Unterhaltsverpflichtungen, Lohnpfändung |
| Studierendendaten | Teilnahme an Veranstaltungen, Noten, Beurteilungen |
| Verhaltensdaten | Abmahnungen, Ermahnungen, Belobigungen, Beurteilungen durch Vorgesetzte, Jahresgespräche |
| Versicherungsdaten | Sozialversicherungsnummer, Rentenversicherung, private Altersvorsorge, Arbeitslosen- und Pflegeversicherung |
| Vertragsdaten | Beginn, Laufzeit, Beendigung, Vergütung, Inhalt |
| Werturteile | Schulzeugnis, Arbeitszeugnis, ... |
Die Datenschutz-Folgenabschätzung (DSFA) ist ein Verfahren, das Unternehmen und Organisationen dabei unterstützt, die Risiken einer Datenverarbeitung auf die Privatsphäre und Freiheiten betroffener Personen zu bewerten und angemessene Maßnahmen zur Risikominimierung zu ergreifen. Eine DSFA ist erforderlich, wenn eine Datenverarbeitung ein hohes Risiko darstellt.
Als hohes Risiko gelten beispielsweise Verarbeitungen von besonderen Kategorien personenbezogener Daten (z.B. Gesundheitsdaten) oder umfassende Überwachungsmaßnahmen. Eine DSFA kann aber auch erforderlich sein, wenn eine große Menge personenbezogener Daten verarbeitet wird oder wenn neue Technologien oder Verfahren eingesetzt werden.
Ein weiteres Beispiel für eine riskante Datenverarbeitung ist die Videoüberwachung. Hier müssen beispielsweise Fragen der Zugangskontrolle, der Aufbewahrungsdauer der Aufnahmen und der Information betroffener Personen geklärt werden.
Der DSFA-Prozess besteht aus mehreren Schritten, wie z.B. der Beschreibung der Datenverarbeitung, der Identifikation von Risiken und der Bewertung der Wahrscheinlichkeit und Schwere möglicher Auswirkungen auf die Rechte und Freiheiten betroffener Personen. Basierend auf der Bewertung werden Maßnahmen zur Risikominimierung entwickelt und dokumentiert.
Eine DSFA sollte immer von einem Datenschutzbeauftragten oder einer anderen qualifizierten Person durchgeführt werden. Bei Unsicherheiten oder Fragen zur DSFA stehen wir Ihnen gerne zur Verfügung.
Gemäß der Artikel 33 DSGVO sind Verantwortliche (im Unternehmen, in der Behörde aber auch im Verein) dazu verpflichtet, bei Datenschutzverletzungen (Datenpannen) Maßnahmen zu ergreifen und diese innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde zu melden. Diese Meldepflicht besteht dann, wenn eine Datenschutzverletzung ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt. Das bedeutet, dass Verantwortliche nicht nur verpflichtet sind, Datenpannen zu vermeiden, sondern auch angemessene Maßnahmen ergreifen müssen, um im Falle einer Datenschutzverletzung schnell und effektiv reagieren zu können.
Wenn eine Datenschutzverletzung stattfindet, ist es wichtig, dass Verantwortliche schnell handeln und die betroffenen Personen unverzüglich informieren. Die Benachrichtigung sollte in klarer und einfacher Sprache erfolgen und die Art der Verletzung, die betroffenen Datenkategorien und die möglichen Auswirkungen für die betroffenen Personen erläutern. Die betroffenen Personen sollten auch darüber informiert werden, welche Schutzmaßnahmen sie ergreifen können, um sich selbst zu schützen.
Es ist auch wichtig zu beachten, dass Verantwortliche nicht nur verpflichtet sind, Datenschutzverletzungen zu melden, sondern auch Maßnahmen ergreifen müssen, um zukünftige Verletzungen zu vermeiden. Verantwortliche sollten sicherstellen, dass sie über geeignete Sicherheitsmaßnahmen verfügen, um personenbezogene Daten vor unbefugtem Zugriff und Missbrauch zu schützen. Es empfiehlt sich, einen Notfallplan zu erstellen, der beschreibt, wie der Verantwortliche im Falle einer Datenschutzverletzung vorgehen wird, um sicherzustellen, dass alle erforderlichen Maßnahmen schnell ergriffen werden können.
Zusammenfassend ist es für Verantwortliche wichtig, ein Verfahren für den Umgang mit Datenschutzverletzungen und den damit verbundenen Meldepflichten zu haben. Dies umfasst nicht nur die Meldung von Datenschutzverletzungen an die Aufsichtsbehörde, sondern auch die Information betroffener Personen und die Ergreifung geeigneter Maßnahmen zur Verhinderung zukünftiger Verletzungen.
Im Sinne der Datenschutz-Grundverordnung (DSGVO) sind Betroffene natürliche Personen, deren personenbezogene Daten von einem Verantwortlichen verarbeitet werden.
Das können zum Beispiel Kunden, Mitarbeiter, Website-Besucher oder Patienten sein. Die DSGVO schützt die Grundrechte und Grundfreiheiten der betroffenen Personen und verpflichtet die Verantwortlichen dazu, ihre personenbezogenen Daten nur unter bestimmten Voraussetzungen zu erheben, zu speichern, zu nutzen und zu übermitteln.
Wir werden die Fragen und Antworten von Zeit zu Zeit ergänzen.
