Auf dieser Seite geben wir Ihnen Antworten auf die wichtigsten Fragen zur Datenschutzgrundverordnung (DSGVO). Die Fragen und Antworten sollen Ihnen einen ersten Einblick geben, erheben keinen Anspruch auf Vollständigkeit und ersetzen auch nicht die Beratung im Einzelfall.
Neben der Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten (Kapitel 2 Art. 5 bis 11 der DSGVO) und der Gewährleistung der Betroffenenrechte (Kapitel 3 Art. 12 bis 23 der DSGVO) sind folgende Punkte zu prüfen:
- Das Führen eines Verzeichnisses der Verarbeitungstätigkeiten
- Anforderungen an die Auftragsverarbeitung
- Sicherstellung von technischen und organisatorischen Maßnahmen zur Gewährleistung von Datensicherheit und Datenschutz
- Die Meldung von Datenschutzverletzungen an die Aufsichtsbehörde und die Benachrichtigung von betroffenen Personen
- Gegebenenfalls die Durchführung von Datenschutz-Folgenabschätzungen
- Gegebenenfalls die Benennung eines Datenschutzbeauftragten
Ein Datenschutzbeauftragter muss bestellt werden, wenn mindestens 20 Mitarbeiter regelmäßig mit Verarbeiteitung personenbezogener Datenverarbeitung beschäftigt sind.
Unabhägig von der Mitarbeiterzahl gilt diese Pflicht auch dann:
- wenn besondere Kategorien von personenbezogenen Daten (z. B. über politische/religiöse Überzeugungen, Ethnie/Rasse, Gesundheit, ...) verarbeitet werden.
- wenn die Kerntätigkeit des Unternehmens in der Erhebung, Verarbeitung, Nutzung oder Übermittlung von personenbezogenen Daten liegt.
- Datenverarbeitungen, die einer Datenschutz-Folgenabschätzung nach Artikel 35 Datenschutzgrundverordnung (DSGVO) unterliegen.
Die Vorgaben wann ein Datenschutzbeauftragter im Unternehmen, im Verein oder in einer Behörde eingesetzt werden muss, finden sich zum einen in Artikel 37 Datenschutzgrundverordnung (DSGVO) und zum anderen in § 38 Bundesdatenschutzgesetz (BDSG-neu).
Stellt die Aufsichtsbehörde einen Verstoß gegen die Datenschutz-Grundverordnung fest, kann die Behörde verwarnen oder Anordnungen wie Verarbeitungsverbote aussprechen aber auch Geldbußen von bis zu 20 Millionen € oder 4 Prozent des weltweiten Jahresumsatzes verhängen.
Betroffene Personen können Klagen bei den zuständigen Gerichten einreichen und eventuell Anspruch auf Schadensersatz geltend machen.
Auftragsverarbeitung bezeichnet den Vorgang, in dem eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet. Nach Maßgabe des Art. 28 Abs. 3 DS-GVO schließen Verantwortliche und Auftragsverarbeiter über die Auftragsverarbeitung einen Vertrag.
Weitere Information hierzu finden Sie unter: DSK Kurzpapier Nr. 13.
Jeder Verantwortliche (im Unternehmen, im Verein, ...) und jeder Auftragsverarbeiter erstellen und führen ein Verzeichnis (bzw. eine Dokumentation) aller Verarbeitungstätigkeiten bei den personenbezogenen Daten verarbeitet werden. Eine Beispiel für eine solche Verarbeitungstätigkeit im Unternehmen ist die Lohnbuchhaltung.
Das Verzeichnis von Verarbeitungstätigkeiten dient als wesentliche Grundlage für eine strukturierte Datenschutzdokumentation und hilft dem Verantwortlichen dabei, gemäß Art. 5 Abs. 2 Datenschutzgrundverordnung (DS-GVO) nachzuweisen, dass die Vorgaben aus der DSGVO eingehalten werden (Rechenschaftspflicht).
Das Verarbeitungsverzeichnis stellt somit ein wesentliches Element für die Etablierung eines umfassenden Datenschutz- und Informationssicherheits-Managementsystems dar.
Wer personenbezogene Daten verarbeitet, sollte diese Daten mittels technischer und organisatorischer Maßnahmen, entsprechend dem neusten Stand der Technik, ausreichend schützen.
Der Begriff bzw. die Maßnahmen beinhalten alle konkreten Vorkehrungen, die eine Organisation (Unternehmen, Behörde, Verein, ...) trifft, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Die Vorgaben zu den technischen und organisatorischen Maßnahmen sind in Art. 32 DSGVO geregelt.
Gegebenenfalls sollten folgendes Maßnahmen getroffen werden:
- Die Pseudonymisierung und Verschlüsselung personenbezogener Daten.
- Die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen.
- Die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.
- Ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Ein Beispiel: Wird ein Defekt an einer Festplatte festgestellt, sollten die gespeicherten Daten mittels einer Datensicherung gesichert sein und die Daten auf einer neuen Festplatte wiederhergestellt werden können.
Datenkategorien sind in der DSGVO nicht eindeutig gesetzlich formuliert. Man kann sagen, dass eine Datenkategorie mehrere Einzeldaten beinhaltet.
In der DSGVO sind aber einige Datenkategorien als besonders benannt, da diese einen höheren Schutzbedarf benötigen. Diese Datenkategorien sind in Art. 9 DSGVO - Verarbeitung besonderer Kategorien personenbezogener Daten - explizit benannt.
Beispielhaft können folgende Kategorien von personenbezogenen Daten genannt werden:
| Kategorie | Beschreibung |
|---|---|
| Abodaten | |
| Abrechnungsdaten | Lohnabrechnungen, Reisekosten- und Spesenabrechnungen, Leistungsabrechnung aus dem Vertrag, Steuerdaten |
| Abstammungsdaten | |
| Accountdaten | |
| Adressdaten | Straße, Hausnummer, PLZ, Ort, Land |
| allgemeine Personendaten | Name, Geburtsdatum, Alter, Geburtsort, Anschrift, Emailadresse, Telefonnummer, Foto, Ausbildung, Beruf, Familienstand, Staatsangehörigkeit, Urlaubsplanung, ... |
| Audio- und Sprachdaten | |
| Bankdaten | Name der Bank, BIC und IBAN, Kontoinhaber |
| Behandlungsdaten | |
| Behördendaten | Adresse, Kontaktdaten und Zuständigkeiten des Behördenmitarbeiters, Funktion der Behörde, Bebauungspläne, Verkehrspläne |
| Besitzmerkmale | Eigentum an einer Immobilie, Fahrzeugeigentümer /- Halter, Kfz-Kennzeichen, Fahrgestell-Nr., ... |
| Besondere Kategorien personenbezogener Daten | zur rassischen und ethnischen Herkunft, zu politischen Meinungen, zu religiösen oder weltanschaulichen Überzeugungen, zu einer Gewerkschaftszugehörigkeit, zum Sexualleben oder sexuellen Orientierung, genetische (Art. 4 Nr. 13 DSGVO) und biometrische (Art. 4 Nr. 14 DSGVO) Daten sowie Gesundheitsdaten (Definition Art. 4 Nr. 15 DSGVO) |
| Bewerberdaten | Alle Daten die im Wege einer Bewerbung dem Verantwortlichen zugesendet werden, wie z.B. Personendaten, Lebenslauf, Qualifikationen, Hobbys |
| Bild- und Videodaten | |
| Bonitätsdaten | Kapitalbeteiligungen, Kredite, Ausgaben, Einnahmen, Vermögen, Schulden, usw. |
| demografische Daten | Alter, Geschlecht |
| Gewährleistungsdaten | Daten, welche besagen, wann und in welchem Umfang eine gesetzliche Gewährleistung fällig wird |
| Kennnummern | Sozialversicherungsnummer, Steueridentifikationsnummer, Krankenversicherungsnummer, Personalausweisnummer, Matrikelnummer, ... |
| Kommunikationsdaten | |
| Kontaktdaten | Name, Anschrift, E-Mail-Adresse, Telefonnummern |
| Leistungsdaten | Testergebnisse, Bewertungsergebnisse, Beurteilungsergebnisse |
| Lieferdaten | Waren und Warenmengen, Lieferorte und Lieferzeitpunkte, Empfänger, Versender |
| Logindaten | |
| Metadaten | eMail (Header), Fotos (exif), Office- und PDF-Dateien, Telekommunikationsdaten, Verbindungsdaten, Cookies, ... |
| Mitarbeiterdaten | Ein- und Austritt im Unternehmen, Name, Funktion, Tätigkeit, interne Kontaktdaten, wie Telefonnummer und E-Mail-Adresse |
| Nachrichteninhalte | |
| Nutzerdaten | |
| Nutzungsdaten | Merkmale zur Identifikation des Nutzers, Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und Angaben über die vom Nutzer in Anspruch genommenen Telemedien legaldefiniert in § 15 TMG |
| Nutzungshistorie | |
| Onlinedaten | IP-Adresse, aufgerufenen Webseiten, heruntergeladenen Dokumente, Zeit des Zugriffs, Zugriffsdauer, verwendetes Endgerät, Betriebssystem, Browser, ... |
| Patientendaten | |
| Personendaten | Vor- und Nachname, Geburtsdatum, Sterbedatum, Adresse |
| Persönliche Leistungsdaten | |
| Positionsdaten | |
| Präferenzen und Vorlieben | |
| Qualifikationsdaten | Lebensläufe, Zeugnisse, Zertifikatsdaten, Fortbildungsdaten |
| sachliche Verhältnisse | Einkommen, Entgeltgruppe, Vermögen, Schulden, ... |
| Schadensdaten | Schadenart, Schadentag, Schadenort, Schadenobjekt |
| Sozialdaten | Beziehungsstatus, verheiratet, geschieden, verwitwet, Kinder |
| Stammdaten | Name, Vorname, Geburtstag, Nationalität, Fahrerlaubnisse, Behinderungen, Steuernummer, Unterhaltsverpflichtungen, Lohnpfändung |
| Studierendendaten | Teilnahme an Veranstaltungen, Noten, Beurteilungen |
| Verhaltensdaten | Abmahnungen, Ermahnungen, Belobigungen, Beurteilungen durch Vorgesetzte, Jahresgespräche |
| Versicherungsdaten | Sozialversicherungsnummer, Rentenversicherung, private Altersvorsorge, Arbeitslosen- und Pflegeversicherung |
| Vertragsdaten | Beginn, Laufzeit, Beendigung, Vergütung, Inhalt |
| Werturteile | Schulzeugnis, Arbeitszeugnis, ... |
Wir werden die Fragen und Antworten von Zeit zu Zeit ergänzen.
