Datenschutz-ABC
Die Aufsichtsbehörde ist eine staatliche Einrichtung, deren Hauptaufgabe darin besteht, zu kontrollieren, ob die Vorschriften der Gesetze zum Datenschutz eingehalten werden oder nicht. Bei Verstößen gegen Datenschutzvorschriften kann die Aufsichtsbehörde entsprechende Sanktionen verhängen – die bekannteste Sanktion der Aufsichtsbehörde ist das Bußgeld.
Auftragsverarbeitung bezeichnet eine bestimmte Art der Zusammenarbeit von Unternehmen, bei der personenbezogene Daten verarbeitet werden. Eine Auftragsverarbeitung liegt immer dann vor, wenn ein Unternehmen (der sog. Auftragnehmer) im Auftrag eines anderen Unternehmens (dem Auftraggeber) personenbezogene Daten erhebt, verarbeitet oder nutzt. In Abgrenzung zu anderen Konstellationen der Zusammenarbeit von Unternehmen ist der Auftragnehmer dem Auftraggeber gegenüber streng weisungsgebunden.
Die DS-GVO hat die Position Betroffener gestärkt und sie mit einer Menge unterschiedlicher Rechte ausgestattet. Eines dieser Rechte ist der Auskunftsanspruch, der betroffene Personen berechtigt zu erfragen, ob und wie ihre personenbezogenen Daten von dem jeweiligen Unternehmen verarbeitet werden. Machen sie dieses Recht gegenüber dem Verantwortlichen geltend, spricht man von einem Auskunftsersuchen.
Die DS-GVO hat die Rechtsposition von betroffenen Personen erheblich gestärkt und ihnen in Bezug auf die Verarbeitung ihrer personenbezogenen Daten eine Reihe von Rechten gegeben. Diese Rechte bezeichnet man als Betroffenenrechte. Betroffenenrechte sind damit unterschiedliche Rechte, die Personen geltend machen können, deren personenbezogene Daten verarbeitet werden.
Zu den Neuerungen, die die DS-GVO für den Datenschutz mit sich gebracht hat, gehören auch die sehr hohen Bußgelder bei Verletzungen der Vorgaben. Verstoßen Verantwortliche gegen ihre datenschutzrechtlichen Pflichten nach der DS-GVO, kann die zuständige Datenschutz-Aufsichtsbehörde ein Bußgeld verhängen.
Die Datenminimierung gehört zu den zentralen Grundsätzen der DS-GVO. Nach dem Grundsatz der Datenminimierung werden Unternehmen verpflichtet, nur diejenigen personenbezogenen Daten zu verarbeiten, die zur Erreichung des Verarbeitungszwecks notwendig sind. Datenminimierung bedeutet damit, dass Unternehmen jedes einzelne Datum, dass sie erheben und verarbeiten wollen, auf einen bestimmten festgelegten Zweck zurückführen müssen und das Datum zur Erreichung dieses Zwecks unbedingt benötigen.
Ein Datenschutzbeauftragter (DSB) ist Fachmann und Berater in allen Fragen des Datenschutzes. Seine Aufgabe ist es, dafür Sorge zu tragen, dass die datenschutzrechtlichen Vorschriften zur Verarbeitung personenbezogener Daten eingehalten werden. Ein Datenschutzbeauftragter informiert, berät und unterstützt die Geschäftsführung bei der Umsetzung des Datenschutzrechts in ihrem Unternehmen.
Die Datenschutzkonferenz (DSK) ist ein Gremium, das sich aus den unabhängigen Datenschutzbehörden des Bundes und der Länder zusammensetzt. Die Datenschutzkonferenz wird in ihrer Arbeit durch eine Reihe von Arbeitskreisen unterstützt, die sich jeweils mit einem anderen Themengebiet befassen, beispielsweise mit Videoüberwachung, Technik, Justiz und Beschäftigtendatenschutz.
Der Datenschutzkoordinator ist das Bindeglied zwischen der Geschäftsführung und dem Datenschutzbeauftragten. Er ist für die Datenschutzarbeit im Alltag zuständig und übernimmt bürokratische Aufgaben sowie die Dokumentation aller datenschutzrelevanter Themen. Mit seiner Arbeit unterstützt der Datenschutzkoordinator den Verantwortlichen und den Datenschutzbeauftragten bei der Erfüllung ihrer datenschutzrechtlichen Pflichten und Aufgaben.
Drittländer im Sinne der DS-GVO sind kurz gesagt alle Staaten außerhalb der Europäischen Union (EU) beziehungsweise des Europäischen Wirtschaftsraums (EWR). Da in diesen Ländern europäische Verordnungen nicht gelten, werden an die Datenübermittlung hohe Anforderungen gestellt, um die Sicherheit personenbezogener Daten auch außerhalb des Geltungsbereichs der DS-GVO auf einem gleichwertigen Niveau zu gewährleisten.
Die DS-GVO schreibt vor, dass zunächst einmal jede Verarbeitung personenbezogener Daten unzulässig ist, es sein denn, es liegt eine Rechtsgrundlage nach Art. 6 DS-GVO bzw. Art. 9 DS-GVO vor (sog. Erlaubnisvorbehalt). Einer dieser Erlaubnistatbestände ist die informierte Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a) i. V. m. Art. 7, 8 DS-GVO.
Der Europäische Datenschutzausschuss (EDSA) ist das Nachfolgegremium der Artikel-29-Datenschutzgruppe. Das Gremium hat eine eigene Rechtspersönlichkeit und kann rechtsverbindliche Entscheidungen treffen. Der Europäische Datenschutzausschuss setzt sich aus den nationalen Datenschutzbehörden und dem Europäischen Datenschutzbeauftragten (EDSB) zusammen. Der Europäische Datenschutzausschuss ist unabhängig und weisungsfrei.
Geeignete Garantien sind eine von drei Möglichkeiten für den datenschutzkonformen Transfer personenbezogener Daten in ein Land, das nicht in den Anwendungsbereich der DS-GVO fällt. Sollen personenbezogene Daten aus der EU in ein solches Drittland übermittelt werden, muss sichergestellt sein, dass die Daten im Empfängerland einem Schutzniveau unterliegen, das mit dem der DS-GVO vergleichbar ist. Deshalb ist ein Datentransfer in diese Länder nur unter den speziellen Voraussetzungen der Art. 44 ff. DS-GVO zulässig.
Integrität der Daten bedeutet dabei so viel wie Korrektheit und Unversehrtheit der Daten. Verantwortliche müssen personenbezogene Daten also vor ungewollten und unerlaubten Veränderungen schützen und eventuelle Änderungen von Daten durch Unbefugte erkennen. Schließlich ist es wichtig, dass die Daten über eine Person sachlich richtig sind. Werden Daten manipuliert, so können die Daten danach falsch sein, es kann aber auch sein, dass die Daten dann nicht mehr nutzbar und verfügbar sind.
Die DS-GVO hat die Position Betroffener gestärkt und ihnen eine Reihe von verschiedenen Rechten eingeräumt. Eines davon ist der Löschanspruch, der besagt, dass betroffene Personen verlangen dürfen, dass ihre personenbezogenen Daten gelöscht werden. Machen sie dieses Recht gegenüber dem Verantwortlichen geltend, spricht man von einem Löschersuchen.
Kommt es zu einer Datenpanne, das heißt, wird die Sicherheit personenbezogener Daten verletzt, ist der Verantwortliche gesetzlich dazu verpflichtet, diesen Vorfall zu melden. Zum einen besteht die Meldepflicht gegenüber der zuständigen Aufsichtsbehörde (Art. 33 DS-GVO). Zum anderen müssen unter Umständen auch die betroffenen Personen über die Datenpanne informiert werden (Art. 34 DS-GVO).
Ein Grundsatz der DS-GVO ist die Datenminimierung. Danach sollen personenbezogene Daten nur in der Menge und in dem Rahmen verarbeitet werden, wie es unbedingt notwendig ist. Eine Maßnahme zur Umsetzung dieses Grundsatzes ist die Pseudonymisierung. Unter Pseudonymisierung versteht man die Veränderung von personenbezogenen Daten in einer Weise, die die Identifizierung der betroffenen Person nur mithilfe weiterer Informationen möglich macht (Art. 4 Nr. 5 DS-GVO).
Das Richtigkeitsgebot gehört zu den wichtigsten Grundsätzen der DS-GVO. Nach dem Grundsatz der Richtigkeit sind Unternehmen dafür verantwortlich, dass Daten korrekt erhoben und weitergegeben werden. Sollten dennoch Fehler enthalten sein, sind sie dazu verpflichtet, die entsprechenden Daten zu korrigieren.
Die DS-GVO verpflichtet Verantwortliche und Auftragsverarbeiter, personenbezogene Daten ausreichend zu schützen, insbesondere im Hinblick auf die Vertraulichkeit, die Integrität sowie die Verfügbarkeit und die Belastbarkeit der Systeme. Sie müssen unter Berücksichtigung festgelegter Faktoren Vorkehrungen treffen, um ein angemessenes Schutzniveau sicherzustellen.
Verantwortlicher im Sinne des Datenschutzes ist diejenige natürliche oder juristische Person oder andere Stelle, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet (Art. 4 Nr. 7 DS-GVO). Die betreffende Stelle trägt einzig und allein die Verantwortung für die Einhaltung und Umsetzung der datenschutzrechtlichen Vorschriften. In der Regel ist das jeweilige Unternehmen, das juristisch durch seine Geschäftsführung vertreten wird, die verantwortliche Stelle im Sinne der DS-GVO.
Ziel der Verfügbarkeitskontrolle ist es, personenbezogene Daten vor Verlust und zufälliger Zerstörung zu schützen. Untrennbar verbunden ist die Verfügbarkeitskontrolle daher mit der Wiederherstellbarkeit, die gewährleistet, dass die Daten im Störungsfall wiederhergestellt werden können. Dieser Grundsatz ist in Art. 64 DS-GVO geregelt und gilt für den alle Daten, die firmeninternen Daten, die Daten von Kunden und besonders wenn man als Dienstleister für andere Kunden tätig wird bzw. Dienste von Externen in Anspruch nimmt. Grundsätzlich ist die Verfügbarkeitskontrolle einer der wichtigsten Punkte im Datenschutz und bei den TOMs.
Um die Datensicherheit in Unternehmen gemäß der DS-GVO zu gewährleisten, ist eine der wichtigsten Maßnahmen die Verschlüsselung von personenbezogenen Daten. So wird die Verschlüsselung explizit als eine solche Maßnahme in Art. 32 DS-GVO aufgeführt. Mit der Verschlüsselung von personenbezogenen Daten können Unternehmen insbesondere die Wahrscheinlichkeit einer Datenpanne und somit auch eines Bußgelds verringern. Dafür gibt es viele verschiedene Wege und Werkzeuge.
Im Datenschutz ist Vertraulichkeit ein sehr wichtiger Grundsatz. Dieser ist in Art. 5 Abs. 1 lit. f) DS-GVO geregelt und jedes Unternehmen muss die Vertraulichkeit von personenbezogenen Daten gewährleisten können. Das Schutzziel Vertraulichkeit stellt also sicher, dass personenbezogene Daten nur von solchen Personen eingesehen, verändert oder gelöscht werden können, die eine Berechtigung hierfür haben. Im Umkehrschluss bedeutet das, dass Unbefugte keinen Zugriff auf personenbezogene Daten haben und diese weder einsehen, verändern oder löschen können.
Das Verzeichnis der Verarbeitungstätigkeiten ist eine gesetzlich vorgeschriebene Übersicht über alle Prozesse im Unternehmen, bei denen personenbezogene Daten verarbeitet werden. Die gesetzlich vorgeschriebene Übersicht gibt es nicht erst seit Gültigkeit der DS-GVO, sondern sie war bereits nach dem Bundesdatenschutzgesetz (BDSG) zu führen.
Nach Art. 32 Abs. 1 DS-GVO sind Verantwortliche dazu verpflichtet, personenbezogenen Daten durch ausreichende technische und organisatorische Maßnahmen mit einem angemessenen Schutzniveau zu schützen. Zu diesen Maßnahmen gehört es unter anderem, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet und genutzt werden, ausreichend zu verwehren. Man spricht von der sogenannten Zutrittskontrolle, also Maßnahmen zur Gebäude- und Raumsicherung.
Der Grundsatz der Zweckbindung gehört zu den goldenen Grundsätzen der Datenverarbeitung, die Art. 5 DS-GVO vorgibt. Die Zweckbindung sagt aus, dass die Erhebung und Verarbeitung von personenbezogenen Daten nur für festgelegte, eindeutige und legitime Zwecke erfolgen darf. Diese Verarbeitungszwecke beantworten die Frage nach dem Warum oder Wozu der Datenverarbeitung und sind gleichzeitig maßgeblich für weitere Detailfragen – so orientieren sich z. B. die Erforderlichkeit, Angemessenheit, Vollständigkeit und Dauer der Verarbeitung an der Erreichung der definierten Zwecke.