Datenschutz-ABC

Aufsichtsbehörde

Die Aufsichtsbehörde ist eine staatliche Einrichtung, deren Hauptaufgabe darin besteht, zu kontrollieren, ob die Vorschriften der Gesetze zum Datenschutz eingehalten werden oder nicht. Bei Verstößen gegen Datenschutzvorschriften kann die Aufsichtsbehörde entsprechende Sanktionen verhängen – die bekannteste Sanktion der Aufsichtsbehörde ist das Bußgeld. Das in Art. 57 DS-GVO geregelte Aufgabenspektrum von Aufsichtsbehörden geht aber weit über diese Kontrollfunktion hinaus und ist so umfangreich, dass man für die Aufzählung fast das ganze ABC benötigt:

a) Anwendung der DS-GVO überwachen und durchsetzen
b) Sensibilisierung & Aufklärung der Öffentlichkeit
c) Beratung von Regierungen & Parlamenten
d) Sensibilisierung von Verantwortlichen
e) Beratung von Betroffenen
f) Beschwerden von Verbraucherverbänden nachgehen
g) Amtshilfe für andere Aufsichtsbehörden leisten
h) Prüfungen
i) Entwicklungen der IT-Landschaft verfolgen
j) Standardvertragsklauseln festlegen
k) Blacklist von Verarbeitungstätigkeiten erstellen
l) Beratung zur Datenschutzfolgenabschätzung (DSFA) bei vorheriger Konsultation
m) Codes of Conduct fördern
n) Zertifizierungen anregen
o) Zertifizierungen überprüfen
p) Kriterien für Akkreditierungen abfassen
q) Akkreditierungen vornehmen
r) Verträge zur Drittstaatenübermittlung genehmigen
s) Binding Corporate Rules (BCR) genehmigen
t) Beiträge für den Europäischen Datenschutzausschuss (EDSA) erstellen
u) Verzeichnisse über Verstöße führen
v) „jede sonstige Aufgabe im Zusammenhang mit dem Schutz personenbezogener Daten“

Sanktionsmöglichkeiten einer Aufsichtsbehörde

Sowie das Aufgabenspektrum über die reine Kontrollfunktion hinausgeht, hat die Aufsichtsbehörde auch bei Datenschutzverstößen weit mehr Handlungsmöglichkeiten als die bekannte Verhängung von Bußgeldern. Die Aufsichtsbehörde kann das betroffene Unternehmen zunächst informell auf sein Fehlverhalten hinweisen. Als Vorstufe zum Bußgeld kann die Aufsichtsbehörde gerichtlich überprüfbare Warnungen für künftiges Verhalten und Verwarnungen bezüglich vergangener Handlungen aussprechen. Außerdem kann die Aufsichtsbehörde Anordnungen erlassen oder Strafanträge stellen.

Rechte einer Aufsichtsbehörde

Um zu gewährleisten, dass die Aufsichtsbehörde ihren Aufgaben nachkommen kann, hat sie umfangreiche Prüfungs-, Besichtigungs- und Zutrittsrechte für Vor-Ort-Kontrollen sowie ein Einsichtsrecht in geschäftliche Unterlagen. Zudem sind Unternehmen nach Art. 31 DS-GVO dazu verpflichtet, auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammenzuarbeiten.
Aufteilung der Aufsichtsbehörden in Deutschland
In Deutschland gibt es mehr als eine Aufsichtsbehörde, denn neben dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit hat jedes Bundesland mit Ausnahme von Bayern eine eigene Aufsichtsbehörde, die die Einhaltung des Datenschutzes im öffentlichen und im nicht öffentlichen Bereich überwacht. In Bayern gibt es zwei Aufsichtsbehörden, da es jeweils eine eigene Behörde für den öffentlichen und den nicht öffentlichen Bereich gibt.

Lassen Sie sich von einem Datenschutzexperten beraten!

Brauchen Sie Unterstützung bei der Zusammenarbeit mit der für Sie zuständigen Aufsichtsbehörde, hat die Aufsichtsbehörde eine Kontrolle in Ihrem Unternehmen angekündigt, oder noch schlimmer, schon ein Bußgeld verhängt? Wir beraten und unterstützen Sie gerne – kontaktieren Sie unsere Mitarbeiterinnen Frau Heil oder Frau Krämer telefonisch (0911 37677095) oder per E-Mail (office@ascon-datenschutz.de) oder nutzen Sie unser Kontaktformular!

Auftragsverarbeitung

Auftragsverarbeitung bezeichnet eine bestimmte Art der Zusammenarbeit von Unternehmen, bei der personenbezogene Daten verarbeitet werden. Eine Auftragsverarbeitung liegt immer dann vor, wenn ein Unternehmen (der sog. Auftragnehmer) im Auftrag eines anderen Unternehmens (dem Auftraggeber) personenbezogene Daten erhebt, verarbeitet oder nutzt. In Abgrenzung zu anderen Konstellationen der Zusammenarbeit von Unternehmen ist der Auftragnehmer dem Auftraggeber gegenüber streng weisungsgebunden.

Typische Beispiele für Auftragsverarbeiter sind IT-Dienstleister, Hersteller von Software, externe Wartungsfirmen und externe Dienstleister für Aktenvernichtung. Dagegen sind Rechtsanwälte keine Auftragsverarbeiter, da sie ihren Mandanten gegenüber nicht weisungsgebunden sind.

Charakteristika der Auftragsverarbeitung

Der Auftragsverarbeiter (Auftragnehmer) fungiert bei der Auftragsverarbeitung als verlängerter Arm des Verantwortlichen (Auftraggeber) und verarbeitet die Daten ausschließlich auf seine Weisung hin. Dementsprechend muss die Weisung des Auftraggebers detaillierte Angaben zu Art und Umfang der Datenverarbeitung enthalten und hat dokumentiert zu erfolgen. Der Auftragnehmer hat bei der Auftragsverarbeitung keine Entscheidungsbefugnis über den Verarbeitungszweck und kein Nutzungsrecht an den Daten.

Voraussetzungen der Auftragsverarbeitung

Die Auftragsverarbeitung ist nur zulässig, wenn sie auf Grundlage einer Auftragsverarbeitungsvereinbarung (AVV) nach Art. 28 Abs. 3 DS-GVO erfolgt. Wurde keine AVV geschlossen, ist der Auftragsverarbeiter Dritter im Sinne der DS-GVO, dem Daten in der Regel nur nach Zustimmung des Betroffenen zugänglich gemacht werden dürfen. Wichtig ist, dass für die Auftragsverarbeitung nicht nur eine AVV geschlossen wird, sondern dass diese auch alle inhaltlichen Vorgaben nach Art. 28. Abs. 3 DS-GVO erfüllt. Danach muss die für die Auftragsverarbeitung notwendige Vereinbarung z. B. exakt darlegen, was Gegenstand der Auftragsverarbeitung ist, welche Daten und Personen von der Auftragsverarbeitung betroffen sind, mit welchen technisch-organisatorischen Maßnahmen der Auftragsverarbeiter die personenbezogenen Daten schützt und dass der Auftragsverarbeiter umfangreiche Pflichten bei der Auftragsverarbeitung hat.

Verantwortlichkeiten bei der Auftragsverarbeitung

Die Verantwortung für die rechtmäßige Verarbeitung der personenbezogenen Daten liegt bei der Auftragsverarbeitung einzig und allein beim Auftraggeber. Er muss den Auftragnehmer deshalb über die AVV zum Schutz der Daten verpflichten und ihn diesbezüglich auch kontrollieren. Der Auftragnehmer muss den Auftraggeber allerdings darauf hinweisen, wenn er der Meinung ist, eine seiner Weisungen oder eine Verarbeitung verstößt gegen die Vorgaben der DS-GVO. Auch gegenüber Betroffenen ist bei der Auftragsverarbeitung der Auftraggeber grundsätzlich erster Ansprechpartner und verantwortlich dafür, dass die datenschutzrechtlichen Rechte erfüllt werden. Allerdings haften der Auftraggeber und der Auftragnehmer nach Art. 82 DS-GVO gemeinsam, wobei die Haftung des Auftragsverarbeiters eingeschränkt ist. Er kann nur haftbar gemacht werden, wenn er gegen ihm speziell auferlegte Pflichten verstößt.

Lassen Sie sich von einem Datenschutzexperten beraten!

Sind Sie unsicher, welche Ihrer Dienstleister als Auftragsverarbeiter fungieren, oder brauchen Sie Unterstützung bei der Prüfung von Auftragsverarbeitungsvereinbarungen? Sie benötigen für die Auftragsverarbeitung eine AVV und wissen nicht, wie Sie diese erstellen sollen oder welches Muster das richtige ist? Wir beraten und unterstützen Sie gerne – kontaktieren Sie unsere Mitarbeiterinnen Frau Heil oder Frau Krämer telefonisch (0911 37677095) oder per E-Mail (office@ascon-datenschutz.de) oder nutzen Sie unser Kontaktformular!

Auftragsverarbeitungsvereinbarung

Eine Auftragsverarbeitungsvereinbarung (AVV) ist eine vertragliche Regelung über die datenschutzrechtlichen Pflichten zweier Unternehmen. Die Auftragsverarbeitungsvereinbarung ist die nach Art. 28 Abs. 3 DS-GVO zwingend erforderliche vertragliche Grundlage einer Auftragsverarbeitung. Eine Auftragsverarbeitungsvereinbarung muss nicht nur geschlossen werden, wenn der Auftragsverarbeiter personenbezogene Daten verarbeiten soll. Es ist bereits ausreichend, wenn er im Rahmen seines Auftrags Zugriff auf personenbezogene Daten bekommt oder bekommen könnte. Ein Beispiel hierfür ist die Wartung von Computern, wobei der IT-Dienstleister nicht direkt personenbezogene Daten verarbeitet, aber Zugriff auf alle gespeicherten Daten hat.

Inhalt der Auftragsverarbeitungsvereinbarung

Mit der Auftragsverarbeitungsvereinbarung werden die eigenen datenschutzrechtlichen Pflichten an den Vertragspartner weitergereicht, der dann vertragsrechtlich verpflichtet ist, dasselbe Datenschutzniveau zu gewährleisten, das der Auftraggeber nach der DS-GVO sicherstellen muss. Der Abschluss der AVV ist Voraussetzung dafür, dass personenbezogene Daten an den Vertragspartner weitergegeben werden dürfen bzw. der Zugriff ermöglicht werden darf. Der Auftragsverarbeiter wird zum verlängerten Arm des Auftraggebers und zählt datenschutzrechtlich nicht mehr als Dritter.
Der Mindestinhalt einer Auftragsverarbeitungsvereinbarung ergibt sich aus Art. 28 Abs. 3 DS-GVO. Zu den wichtigsten Punkten gehören:

  • Gegenstand der Auftragsverarbeitung
  • Dauer der Auftragsverarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten
  • Art der betroffenen Personen
  • Pflichten und Rechte des Verantwortlichen
  • Pflicht zur dokumentierten Anweisung der jeweiligen Datenverarbeitung
  • Verpflichtung verarbeitender Mitarbeiter auf Vertraulichkeit
  • Sicherstellung von technischen & organisatorischen Maßnahmen
  • Hinzuziehung von Subunternehmern
  • Unterstützung des für die Verarbeitung Verantwortlichen bei Anfragen und Ansprüchen Betroffener
  • Unterstützung des für die Verarbeitung Verantwortlichen bei seinen allgemeinen Pflichten
  • Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsverarbeitung
  • Kontrollrechte des für die Verarbeitung Verantwortlichen und Duldungspflichten des Auftragsverarbeiters
  • Pflicht des Auftragsverarbeiters, den Verantwortlichen zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt

Zusammenspiel von Hauptvertrag und Auftragsverarbeitungsvereinbarung

Zusätzlich ist es wichtig, eine Regelung zur Vergütung zu treffen, das heißt, darüber, welche dieser Tätigkeiten gesondert vergütet werden und welche Tätigkeiten mit der Vergütung aus dem Hauptvertrag abgegolten sind. Eine Auftragsverarbeitungsvereinbarung ist kein losgelöster Vertrag, sondern eine datenschutzrechtliche Ergänzung zu der Geschäftsbeziehung, die sich z. B. aus einem Dienstleistungsvertrag oder Werkvertrag ergibt. Diesen Vertrag nennt man Hauptvertrag und darauf nimmt die Auftragsverarbeitungsvereinbarung immer Bezug. Um seine Pflichten aus dem Hauptvertrag erfüllen zu können, muss einer der Vertragspartner typische personenbezogene Daten weisungsgebunden verarbeiten. Was er hierbei datenschutzrechtlich zu beachten hat, wird in der ergänzenden Auftragsverarbeitungsvereinbarung geregelt.

Lassen Sie sich von einem Datenschutzexperten unterstützen!

Brauchen Sie Unterstützung bei der Prüfung einer Auftragsverarbeitungsvereinbarung oder sind Sie sich nicht sicher, ob Sie mit allen Dienstleistern, bei denen eine AVV benötigt wird, auch eine geschlossen haben? Wir beraten und unterstützen Sie gerne – kontaktieren Sie unsere Mitarbeiterinnen Frau Heil oder Frau Krämer telefonisch (0911 37677095) oder per E-Mail (office@ascon-datenschutz.de) oder nutzen Sie unser Kontaktformular!

Die DS-GVO hat die Position Betroffener gestärkt und sie mit einer Menge unterschiedlicher Rechte ausgestattet. Eines dieser Rechte ist der Auskunftsanspruch, der betroffene Personen berechtigt zu erfragen, ob und wie ihre personenbezogenen Daten von dem jeweiligen Unternehmen verarbeitet werden. Machen sie dieses Recht gegenüber dem Verantwortlichen geltend, spricht man von einem Auskunftsersuchen.

Form und Umfang des Auskunftsanpruchs

Formale Anforderungen an das Auskunftsersuchen gibt es nicht, jede Form ist zulässig und auch sonst müssen keine Voraussetzungen beachtet werden. Das Fehlen formaler Hürden unterstreicht die besondere Bedeutung, die der Auskunftsanspruch für betroffene Personen hat. Der Auskunftsanspruch soll nämlich sicherstellen, dass betroffene Personen jederzeit leicht Zugang zu den Informationen haben, die für eine transparente Verarbeitung ihrer Daten notwendig sind. Daneben versetzt der Inhalt des Auskunftsanspruchs betroffene Personen erst in die Lage, die Rechtmäßigkeit der Datenverarbeitung zu prüfen und andere Rechte wie etwa das Recht auf Berichtigung, Sperrung oder Löschung geltend zu machen.

Inhaltlich dürfen Betroffene mit dem Auskunftsanspruch erfragen,

  • zu welchem Zweck ihre Daten verarbeitet werden.
  • welche Kategorien von Daten von der Verarbeitung betroffen sind.
  • welche Gruppen von Empfängern ihre Daten erhalten.
  • wie lange ihre Daten gespeichert werden.
  • aus welcher Quelle die Daten stammen.
  • welche weiteren Rechte sie haben.
  • ggf. welche Logiken bei automatisierten Entscheidungen angewendet werden.

Zudem muss dem Betroffenen eine Kopie der personenbezogenen Daten, die verarbeitet werden, zur Verfügung gestellt werden.

Ausnahmen vom Auskunftsanspruch

Das Recht auf Auskunft ist sehr weitreichend und der Anspruch besteht nur in wenigen Ausnahmefällen nicht, nämlich wenn Rechte anderer Personen beeinträchtigt werden. An diese Einschränkung werden hohe Anforderungen gestellt, beispielsweise steht einem Auskunftsersuchen ein bestehender Geheimhaltungsgrundsatz nicht zwangsweise entgegen. Vielmehr müssen die Interessen im Einzelfall abgewogen werden. Das LG Baden-Württemberg entschied beispielsweise, dass Betroffene Anspruch auf Auskunft über ihre personenbezogenen Leistungs- und Verhaltensdaten, d. h., insbesondere auf ihre Personalakte, haben, auch wenn darin Informationen zu internen Ermittlungen und Hinweisgebern enthalten sind (Urteil v. 20.12.2018, Az.: 17 Sa 11/18).
Weitere Ausnahmen vom Auskunftsanspruch sind Auskunftsersuchen, bei denen sich die betroffene Person nicht eindeutig identifizieren lässt oder wenn Anträge auf Auskunftserteilung ein exzessives Ausmaß annehmen oder offensichtlich unbegründet sind. Lässt sich die Person, die ihren Auskunftsanspruch geltend gemacht hat, nicht eindeutig identifizieren, handelt es sich nicht nur um einen Fall von „die begehrte Auskunft muss nicht erteilt“ werden, sondern vielmehr liegt sogar ein datenschutzrechtliches Verbot der Auskunftserteilung vor. Es bestünde nämlich das Risiko, dass personenbezogene Daten einer unbefugten Person zugänglich gemacht würden, was einen meldepflichtigen Datenschutzvorfall darstellen würde.

Bearbeitung von Auskunftsersuchen

Wie auch bei den übrigen Betroffenenrechten werden an die Bearbeitung von Auskunftsersuchen strenge Vorgaben gestellt. Generell gilt, dass Unternehmen nur einen Monat Zeit haben, um auf Betroffenenanfragen zu reagieren und die geltend gemachten Betroffenenrechte zu erfüllen. Hierzu gehört auch die Identifikation der jeweiligen Person und die Prüfung, ob das geltend gemachte Recht überhaupt besteht. Zudem muss die Bearbeitung ordnungsgemäß dokumentiert werden, um der Rechenschaftspflicht nachzukommen und etwaige Nachfragen seitens des Betroffenen oder der Aufsichtsbehörde beantworten zu können.

Brauchen Sie Unterstützung bei der datenschutzkonformen Bearbeitung von Auskunftsersuchen oder der Implementierung eines Prozesses zur Bearbeitung und Dokumentation der geltend gemachten Auskunftsansprüche? Wir beraten und unterstützen Sie gerne – kontaktieren Sie unsere Mitarbeiterinnen Frau Heil oder Frau Krämer telefonisch (0911 37677095) oder per E-Mail (office@ascon-datenschutz.de) oder nutzen Sie unser Kontaktformular!

Betroffenenrechte

Die DS-GVO hat die Rechtsposition von betroffenen Personen erheblich gestärkt und ihnen in Bezug auf die Verarbeitung ihrer personenbezogenen Daten eine Reihe von Rechten gegeben. Diese Rechte bezeichnet man als Betroffenenrechte. Betroffenenrechte sind damit unterschiedliche Rechte, die Personen geltend machen können, deren personenbezogene Daten verarbeitet werden.

Die wichtigsten Betroffenenrechte sind:

  • Recht auf Auskunft (Art. 15 DS-GVO): Betroffene Personen haben das Recht zu erfragen, ob und wie von ihnen personenbezogene Daten verarbeitet werden.
  • Recht auf Berichtigung (Art. 16 DS-GVO): Betroffene Personen dürfen verlangen, dass falsche Daten korrigiert und unvollständige Daten vervollständigt werden.
  • Recht auf Löschung (Art. 17 DS-GVO): Betroffene Personen haben ein Recht auf Löschung ihrer Daten, wenn sie die verantwortliche Stelle zur Löschung aufgefordert haben, ein Löschgrund vorliegt und keine Ausnahme von der Löschpflicht besteht.
  • Recht auf Datenübertragbarkeit (Art. 20 DS-GVO): Betroffene Personen haben das Recht, die Herausgabe ihrer Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu verlangen. Sie dürfen sowohl verlangen, dass ihnen die Daten selbst übergeben werden als auch die direkte Weitergabe der Daten an eine andere Person (z. B. den neuen Arbeitgeber).
  • Widerruf der Einwilligung (Art. 7 DS-GVO): Beruht die Verarbeitung personenbezogener Daten auf der Einwilligung des Betroffenen, darf er die Einwilligung jederzeit ohne Grund zurücknehmen.
  • Widerspruch gegen die Verarbeitung (Art. 21 DS-GVO): Werden personenbezogene Daten zur Wahrnehmung öffentlicher Aufgaben oder zur Wahrung eines berechtigten Interesses der verantwortlichen Stelle verarbeitet, darf der Betroffene der Verarbeitung seiner personenbezogenen Daten widersprechen.
  • Recht auf Beschwerde bei der Aufsichtsbehörde (Art. 77 DS-GVO): Betroffene Personen dürfen sich bei der Aufsichtsbehörde beschweren, wenn sie der Ansicht sind, dass die Verarbeitung ihrer personenbezogenen Daten gegen die DS-GVO verstößt.

Strenge Vorgaben für die Bearbeitung von Betroffenenanfragen.

Werden Betroffenenrechte geltend gemacht, macht die DS-GVO Unternehmen strenge Vorgaben zur Bearbeitung solcher Anfragen. Generell gilt, dass Unternehmen nur einen Monat Zeit haben, um auf Betroffenenanfragen zu reagieren und die geltend gemachten Betroffenenrechte zu erfüllen. Hierzu gehört auch die Identifikation der jeweiligen Person und die Prüfung, ob das geltend gemachte Recht überhaupt besteht. So gibt es etwa beim Auskunftsanspruch oder dem Löschrecht wichtige Ausnahmen.

Dokumentation der Bearbeitung ist essenziell

Wichtig ist, dass Unternehmen die Bearbeitung der Anfrage sowie die Erfüllung oder Ablehnung der Betroffenenrechte genauestens dokumentieren. Dies ist nicht nur im Hinblick auf die bestehende Rechenschaftspflicht notwendig, sondern auch für etwaige Rückfragen der Aufsichtsbehörde. Sind betroffene Personen nämlich der Ansicht, dass ihre Rechte nicht ordnungsgemäß erfüllt werden, besteht das Risiko einer Beschwerde bei der Aufsichtsbehörde. Haben Unternehmen einen Prozess zur Bearbeitung von Betroffenenanfragen und zur Erfüllung von Betroffenenrechten implementiert und die Bearbeitung jeder Anfrage sauber dokumentiert, haben sie bei solchen Beschwerden nichts zu befürchten.

Lassen Sie sich von einem Datenschutzexperten beraten!

Brauchen Sie Unterstützung bei der datenschutzkonformen Bearbeitung von Betroffenenanfragen, der Erfüllung von Betroffenenrechten oder der Implementierung eines Prozesses zur Bearbeitung und Dokumentation der geltend gemachten Betroffenenrechte? Wir beraten und unterstützen Sie gerne – kontaktieren Sie unsere Mitarbeiterinnen Frau Heil oder Frau Krämer telefonisch (0911 37677095) oder per E-Mail (datenschutz@as-con.biz) oder nutzen Sie unser Kontaktformular!

Datenminimierung

Die Datenminimierung gehört zu den zentralen Grundsätzen der DS-GVO. Nach dem Grundsatz der Datenminimierung werden Unternehmen verpflichtet, nur diejenigen personenbezogenen Daten zu verarbeiten, die zur Erreichung des Verarbeitungszwecks notwendig sind. Datenminimierung bedeutet damit, dass Unternehmen jedes einzelne Datum, dass sie erheben und verarbeiten wollen, auf einen bestimmten festgelegten Zweck zurückführen müssen und das Datum zur Erreichung dieses Zwecks unbedingt benötigen. Andernfalls dürfen Unternehmen das personenbezogene Datum nicht verarbeiten. Damit führt der Grundsatz der Datenminimierung dazu, dass Unternehmen so viele Daten wie nötig aber so wenige wie möglich erheben und verarbeiten dürfen.

Prüfung der Datenminimierung im Verzeichnis der Verarbeitungstätigkeiten

Um sicherzustellen, dass der Grundsatz der Datenminimierung eingehalten wird, müssen Unternehmen im Verzeichnis der Verarbeitungstätigkeiten jedes Verfahren erfassen, bei dem personenbezogene Daten in irgendeiner Form verarbeitet werden. Bei jedem Verfahren ist exakt anzugeben, welche Arten von personenbezogenen Daten verarbeitet werden und welcher Zweck mit der Verarbeitung verfolgt wird. Aus der Definition des Zwecks ergibt sich, welche Daten unter Einhaltung des Grundsatzes der Datenminimierung verarbeitet werden dürfen und wie die Prozesse zur Datenverarbeitung zu gestalten sind. Anhand des Verzeichnisses der Verarbeitungstätigkeiten kann damit geprüft werden, ob das Unternehmen seine Daten im Einklang mit dem Postulat der Datenminimierung verarbeitet.

Datenminimierung bei freiwilligen Angaben

Geben betroffene Personen ihre Daten freiwillig preis, ist der Spielraum bedeutend größer und die Daten dürfen verarbeitet werden, solange eine Verbindung zum Zweck der Datenverarbeitung besteht. Aus diesem Grund dürfen Kontaktformulare im Internet nur sehr wenige Pflichtangaben (Name, E-Mail, Nachricht) enthalten aber viele Angaben (Adresse, Telefonnummer) optional abfragen. Der Grundsatz der Datenminimierung ist jedoch nur gewahrt, wenn der User leicht erkennt, welche Angaben er machen muss und welche Angaben er machen kann.

Lassen Sie sich von einem Datenschutzexperten beraten!

Sie sind sich nicht sicher, ob in Ihrem Unternehmen der Grundsatz der Datenminimierung gewahrt ist? Oder benötigen Sie Unterstützung bei der Erstellung und Analyse des Verzeichnisses der Verarbeitungstätigkeiten? Wir beraten und unterstützen Sie gerne – kontaktieren Sie unsere Mitarbeiter Frau Heil oder Frau Krämer telefonisch (0911 37677095) oder per E-Mail (datenschutz@as-con.biz) oder nutzen Sie unser Kontaktformular! 

Datenschutzbeauftragter

Ein Datenschutzbeauftragter (DSB) ist Fachmann und Berater in allen Fragen des Datenschutzes. Seine Aufgabe ist es, dafür Sorge zu tragen, dass die datenschutzrechtlichen Vorschriften zur Verarbeitung personenbezogener Daten eingehalten werden. Ein Datenschutzbeauftragter informiert, berät und unterstützt die Geschäftsführung bei der Umsetzung des Datenschutzrechts in ihrem Unternehmen.

Wichtig ist dabei, dass der Datenschutzbeauftragte über keinerlei Weisungsbefugnis verfügt, sondern der Geschäftsführung lediglich beratend zur Seite steht, sie über Pflichten und Risiken aufklärt sowie Vorschläge zur Beseitigung von Missständen unterbreitet. Die Verantwortung und Entscheidung, ob Empfehlungen umgesetzt werden oder nicht, liegt allein bei der Geschäftsführung und kann auch nicht delegiert werden. Ausschließlich die Geschäftsführung trifft die Pflicht, die Anforderungen der DS-GVO und anderer Datenschutzvorschriften zu erfüllen. Unterstützt wird sie dabei vom Datenschutzbeauftragten.

Vielfältige Aufgaben des Datenschutzbeauftragten

Um seiner Position gerecht zu werden, muss ein Datenschutzbeauftragter ein breites Spektrum an Aufgaben erfüllen. Er hat

  • die Datenschutzsituation im Unternehmen aktiv zu prüfen und zu überwachen.
  • die Geschäftsführung über ihre Pflichten aufzuklären.
  • notwendige Handlungsbedarfe aufzuzeigen und entsprechende Vorschläge für erforderliche Maßnahmen zu unterbreiten.
  • die Geschäftsführung bei ihren datenschutzrechtlichen Aufgaben wie der Erstellung des Verfahrensverzeichnisses, der Prüfung von Auftragsverarbeitungsvereinbarungen (AVV) oder der Durchführung einer Datenschutzfolgenabschätzung beratend zu unterstützen.
  • Mitarbeiter datenschutzrechtlich zu schulen und zu sensibilisieren.
  • mit der Aufsichtsbehörde zusammenzuarbeiten.
  • als direkte Anlaufstelle für betroffene Personen zur Verfügung zu stehen.
  • alle erlangten Kenntnisse vertraulich zu behandeln und muss seiner Verschwiegenheitspflicht auch gegenüber Betroffenen nachkommen.

Rechte eines Datenschutzbeauftragten

Damit gewährleistet ist, dass ein Datenschutzbeauftragter diesen Pflichten nachkommen kann, stehen ihm ebenfalls einige Rechte zu. Der Datenschutzbeauftragte ist zwar der Geschäftsführung direkt unterstellt, muss seine Funktion allerdings weisungsfrei erfüllen können, unabhängig davon, ob es sich um einen Mitarbeiter (interner Datenschutzbeauftragter) oder einen externen Dienstleister (externer Datenschutzbeauftragter) handelt. Zudem hat ein Datenschutzbeauftragter gegenüber der Geschäftsführung ein unmittelbares Vortragsrecht, das nicht eingeschränkt werden kann. Um seine Aufgaben erfüllen zu können, muss der Datenschutzbeauftragte verpflichtend frühzeitig in alle Prozesse und Fragen eingebunden werden, bei denen personenbezogene Daten verarbeitet werden, und ihm müssen alle notwendigen Informationen zur Verfügung stehen. Außerdem muss vor allem ein interner Datenschutzbeauftragter auf Verlangen mit Hilfspersonal, Räumen, Einrichtungen und Arbeitsmitteln unterstützt werden. Er ist im Bereich des Datenschutzes regelmäßig weiterzubilden, um sicherzustellen, dass er stets auf dem aktuellen Stand ist und seinen Pflichten ordnungsgemäß nachkommen kann.

Datenschutzbeauftragter – wann muss er bestellt werden?

Die gesetzliche Pflicht, einen Datenschutzbeauftragten zu bestellen, besteht für Unternehmen in drei Fällen. Zum einen ist gemäß Art. 38 Abs. 1 BDSG ein Datenschutzbeauftragter zu bestellen, wenn mehr als zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, das heißt, Zugriff auf diese haben. Nach Art. 37 Abs. 1 lit. b) DS-GVO ist zudem ein Datenschutzbeauftragter zu bestellen, wenn die Kerntätigkeit des Unternehmens eine umfangreiche regelmäßige und systematische Überwachung erfordert, das heißt, eindeutig jede Form der Verfolgung und Profilerstreckung im Internet (Erwägungsgrund 24 der DS-GVO). Allerdings beschränkt sich der Begriff nicht auf die Überwachung der Online-Umgebung. Laut der Europäischen Kommission können auch andere Tätigkeiten wie der Betrieb von Telekommunikationsnetzen, das Anbieten von Telekommunikationsleistungen, verfolgende E-Mail-Werbung, Treueprogramme, verhaltensbasierte Werbung und Überwachungskameras oder vernetzte Geräte eine regelmäßige und systematische Überwachung darstellen. Zum Dritten ist ein Datenschutzbeauftragter zu bestellen, wenn besondere Kategorien von personenbezogenen Daten gemäß Art. 9 DS-GVO oder personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DS-GVO verarbeitet werden.

Lassen Sie sich von einem Datenschutzexperten unterstützen!

Suchen Sie einen externen Datenschutzbeauftragten, braucht Ihr interner Datenschutzbeauftragter Unterstützung bei der Erfüllung seiner Pflichten oder sind Sie unsicher, ob Sie einen Datenschutzbeauftragen brauchen? Wir beraten und unterstützen Sie gerne – kontaktieren Sie unsere Mitarbeiterinnen Frau Heil oder Frau Krämer telefonisch (0911 37677095) oder per E-Mail (office@ascon-datenschutz.de) oder nutzen Sie unser Kontaktformular!

Datenschutzkonferenz

Die Datenschutzkonferenz (DSK) ist ein Gremium, das sich aus den unabhängigen Datenschutzbehörden des Bundes und der Länder zusammensetzt. Die Datenschutzkonferenz wird in ihrer Arbeit durch eine Reihe von Arbeitskreisen unterstützt, die sich jeweils mit einem anderen Themengebiet befassen, beispielsweise mit Videoüberwachung, Technik, Justiz und Beschäftigtendatenschutz. Die Arbeitskreise stehen jeweils unter dem Vorsitz einer der Landesbehörden für Datenschutz.

Aufgaben der Datenschutzkonferenz

Aufgabe der Datenschutzkonferenz ist es zum einen, die Datenschutzgrundrechte zu wahren und sie zu schützen. Zum anderen soll dieses Gremium aus den einzelnen Datenschutzbehörden des Bundes und der Länder erreichen, dass europäisches und nationales Datenschutzrecht einheitlich angewendet wird. Die einzelnen Datenschutzbehörden treten damit als Datenschutzkonferenz gemeinsam für die Fortentwicklung des Datenschutzrechts ein.

Werkzeuge der Datenschutzkonferenz

Zur Erfüllung ihrer Aufgaben verfügt die Datenschutzkonferenz über verschiedene Werkzeuge. Hierzu gehören z. B. Empfehlungen und Stellungnahmen. Sie sind das Ergebnis der halbjährig abgehaltenen Sitzungen und werden unter allen deutschen Datenschutzbehörden abgestimmt sowie in Entschließungen zusammengefasst. Zudem kann die Datenschutzkonferenz Beschlüsse erlassen, die teilweise Bezug auf Gerichtsurteile nehmen. Abgestimmte einheitliche Sichtweisen zu verschiedenen Kernthemen der DS-GVO veröffentlicht die Datenschutzkonferenz in Form von Kurzpapieren und Orientierungshilfen. Weitere Werkzeuge der Datenschutzkonferenz sind Standardisierungen, Pressemitteilungen und Festlegungen.

Datenschutzkoordinator

Der Datenschutzkoordinator ist das Bindeglied zwischen der Geschäftsführung und dem Datenschutzbeauftragten. Er ist für die Datenschutzarbeit im Alltag zuständig und übernimmt bürokratische Aufgaben sowie die Dokumentation aller datenschutzrelevanter Themen. Mit seiner Arbeit unterstützt der Datenschutzkoordinator den Verantwortlichen und den Datenschutzbeauftragten bei der Erfüllung ihrer datenschutzrechtlichen Pflichten und Aufgaben.

Notwendigkeit eines Datenschutzkoordinators

Der Begriff „Datenschutzkoordinator“ ist nicht in Datenschutzgesetzen zu finden. Dennoch ist er besonders in mittelständischen und großen Unternehmen notwendig. Durch die in der DS-GVO neu implementierte Rechenschaftspflicht ist der Datenschutz im Unternehmen mit viel Dokumentation und Bürokratie verbunden. Das Zusammentragen relevanter Informationen, gute Organisation und eine lückenlose Dokumentation sind unerlässlich und kaum von nur einer Person zu bewältigen. Insbesondere einem externen Datenbeauftragten fehlt in der Regel der Zugang zu den Mitarbeitern und die Kenntnis betriebsinterner Strukturen (abgesehen davon, dass der Datenschutzbeauftragte für die Umsetzung des Datenschutzes gar nicht zuständig ist). Die Geschäftsführung selbst wiederum hat in der Regel zu viele andere Themen auf dem Tisch, um sich bis ins letzte Detail um den Datenschutz kümmern zu können. Deshalb ist der Datenschutzkoordinator als interne Schnittstelle bei einem externen Datenschutzbeauftragten unerlässlich und aufgrund des großen Zeit- und Arbeitsaufwands für die Erfüllung der Datenschutzpflichten und für die Datenschutzarbeit auch bei einem internen Datenschutzbeauftragten sinnvoll.

Aufgaben des Datenschutzkoordinators

  • Die Aufgaben des Datenschutzkoordinators können bei jedem Unternehmen variieren, je nachdem, wie viel und an welchen Stellen der Verantwortliche und der Datenschutzbeauftragte Unterstützung benötigen. Der Datenschutzkoordinator übernimmt dabei die alltäglichen Datenschutzaufgaben:
  • Er stellt die datenschutztechnische interne Schnittstelle im Unternehmen dar.
  • Er ist die erste Anlaufstelle für den externen Datenschutzbeauftragten.
  • Er übernimmt einen Großteil der Kommunikation.
  • Er ist direkter Ansprechpartner für Mitarbeiter bei Unsicherheiten, ob der Datenschutzbeauftragte einzubinden ist.
  • Er trägt erforderliche Informationen für den Datenschutzbeauftragten zusammen.
  • Er sorgt für die lückenlose Dokumentation datenschutzrechtlicher Themen.
  • Er erstellt und pflegt gemeinsam mit der Geschäftsführung und dem Datenschutzbeauftragten das Verzeichnis der Verarbeitungstätigkeiten.
  • Er pflegt gemeinsam mit der Geschäftsführung und dem Datenschutzbeauftragten das Datenschutzmanagementsystem.
  • Er kümmert sich um die Umsetzung der beschlossenen Maßnahmen.

Einwilligung

Die DS-GVO schreibt vor, dass zunächst einmal jede Verarbeitung personenbezogener Daten unzulässig ist, es sein denn, es liegt eine Rechtsgrundlage nach Art. 6 DS-GVO bzw. Art. 9 DS-GVO vor (sog. Erlaubnisvorbehalt). Einer dieser Erlaubnistatbestände ist die informierte Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a) i. V. m. Art. 7, 8 DS-GVO.

Genaue Prüfung der einschlägigen Rechtsgrundlage erforderlich

Grundsätzlich ist fast jede Datenverarbeitung erlaubt, wenn die von ihr betroffene Person Ihnen eine entsprechende Einwilligung gegeben hat. Mit dem Einverständnis der betroffenen Person ist damit so ziemlich jeder Verarbeitungsvorgang möglich. Das heißt aber nicht, dass für jede Verarbeitung auch eine Einwilligung erforderlich ist. Es muss genau geprüft werden, welche der Rechtsgrundlagen des Art. 6 DS-GVO einschlägig ist. Zum Wesen der Einwilligung gehört ihre Freiwilligkeit. Freiwillig bedeutet, dass die betroffene Person nicht verpflichtet ist, Ihnen ihre Zustimmung zur Datenverarbeitung zu geben, und – falls die Einwilligung erteilt wurde – die Zustimmung jederzeit widerrufen kann. Wird die Einwilligung nicht erteilt oder wird sie widerrufen, ist die Verarbeitung der personenbezogenen Daten nicht (mehr) zulässig. Die Einwilligung kommt daher als Rechtsgrundlage für die Erhebung, Speicherung und Verwendung personenbezogener Daten nur dann in Betracht, wenn Sie im Zweifel auf die Verarbeitungstätigkeit auch verzichten können.

Basiert der Vorgang in der Realität auf einem anderen Erlaubnistatbestand und es wird dennoch eine Einwilligung eingeholt, ist die Verarbeitung ebenfalls unzulässig. Eine falsche Einordnung kann unter Umständen dazu führen, dass gegen den Verantwortlichen ein Bußgeld verhängt wird, wenn er eine detaillierte Prüfung der übrigen Rechtsgrundlagen nicht nachweisen kann. Beispielsweise handelt es sich bei der Behandlung von Patienten oder der Abwicklung von Bestellungen um Handlungen zur Erfüllung des Vertrags, also um eine vertragliche Maßnahme nach Art. 6 Abs. 1 S. 1 lit. b) DS-GVO. Nicht zwingend erforderlich für die Vertragserfüllung ist hingegen die häufig angebotene Sendungsnachverfolgung. Hierbei handelt es sich meist um einen freiwilligen Zusatzservice, sodass für die Weitergabe der E-Mail-Adresse an den Versanddienstleister eine Einwilligung nötig ist.

Anforderungen an eine wirksame Einwilligung

Um eine wirksame Einwilligung einzuholen, müssen die speziellen Anforderungen der Art. 7, 8 DS-GVO sowie die zugehörigen Erwägungsgründe beachtet werden. Folgende Punkte müssen gewährleistet sein:

  • Die Einwilligung ist zeitlich vor Beginn der Datenverarbeitung einzuholen.
  • Die Einwilligung muss freiwillig erfolgen, das heißt, Betroffenen dürfen durch Verweigerung/Widerruf keine Nachteile entstehen.
  • Die Einwilligung muss informiert erfolgen, das heißt, sie muss insbesondere Angaben über die konkrete Verarbeitung, deren Zweck und den Verantwortlichen enthalten sowie die Freiwilligkeit und das Widerrufsrecht herausstellen.
  • Die Einwilligung muss klar und verständlich formuliert sein, das heißt, auf komplizierte Formulierungen und Fachsprache sollte verzichtet werden.
  • Es muss die Möglichkeit bestehen, die Einwilligung jederzeit zu widerrufen, und der Betroffene muss im Voraus auf sein Widerrufsrecht hingewiesen werden.
  • Es muss nachweisbar sein, dass eine Einwilligung unter den genannten Voraussetzungen eingeholt wurde, das heißt, ihr Bestehen muss beweisbar und dokumentiert sein.

Ein Formerfordernis gibt es bei der Einwilligung grundsätzlich nicht, das heißt, die Einwilligung kann schriftlich, elektronisch oder konkludent, also durch eine schlüssige Handlung erfolgen. Einzige Ausnahme ist die Einwilligung von Mitarbeitern, hier schreibt § 26 Abs. 2 S. 3 BDSG die Schriftform oder wahlweise die elektronische Form vor.

Widerrufsrecht der Betroffenen

Unabhängig von der Form der Einwilligung steht dem Betroffenen nach Art. 7 Abs. 3 S. 1 DS-GVO ein Widerrufsrecht zu. Er kann seine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, das heißt, die Rechtmäßigkeit der Verarbeitung vor dem Widerruf bleibt unberührt (Art. 7 Abs. 3 S. 2 DS-GVO).
Hat der Betroffene seine Einwilligung widerrufen, dürfen die betreffenden personenbezogenen Daten nicht mehr verarbeitet werden. In der Praxis hat das zur Folge, dass die Umsetzung des Widerrufs auch möglich sein muss, das heißt, die Verarbeitung abgebrochen werden kann. Werden beispielsweise Bilder von Mitarbeitern auf Homepages auf Basis einer Einwilligung veröffentlicht, müssen die Bilder bei Widerruf von der Seite entfernt werden. Bei Flyern gestaltet sich das Ganze allerdings etwas komplizierter, verteiltes Werbematerial kann nicht oder nur mit einem extrem hohen Aufwand wieder eingesammelt werden. In solchen Fällen müssen die Rechte des Betroffenen gegen die Interessen des Unternehmens, also der Aufwand und die Kosten eines neuen Drucks, abgewogen werden. Es herrscht überwiegend die Meinung, dass in solchen Fällen die Flyer nicht eingesammelt werden müssen, sondern erst bei einem neuen Druck das Bild des Betroffenen entfernt werden muss.

Um auf der sicheren Seite zu sein, sollte bei solchen Verarbeitungen, bei der die Umsetzung des Widerrufs kaum möglich ist, ein gesonderter Vertrag mit den Betroffenen geschlossen werden, ggfs. gegen eine Vergütung. Dann kann die Verarbeitung nämlich als vertragliche Maßnahme auf Art. 6 Abs. 1 S. 1 lit. b) DS-GVO gestützt werden.

Lassen Sie sich von einem Datenschutzexperten unterstützen!

Brauchen Sie Unterstützung bei der Gestaltung von Einwilligungen oder sind Sie sich nicht sicher, ob Ihre bereits eingeholten Einwilligungen auch wirksam sind? Wir beraten und unterstützen Sie gerne – kontaktieren Sie unsere Mitarbeiterinnen Frau Heil oder Frau Krämer telefonisch (0911 37677095) oder per E-Mail (office@ascon-datenschutz.de) oder nutzen Sie unser Kontaktformular!

Europäischer Datenschutzausschuss

Der Europäische Datenschutzausschuss (EDSA) ist das Nachfolgegremium der Artikel-29-Datenschutzgruppe. Das Gremium hat eine eigene Rechtspersönlichkeit und kann rechtsverbindliche Entscheidungen treffen. Der Europäische Datenschutzausschuss setzt sich aus den nationalen Datenschutzbehörden und dem Europäischen Datenschutzbeauftragten (EDSB) zusammen. Der Europäische Datenschutzausschuss ist unabhängig und weisungsfrei.

Hauptaufgabe des Europäischen Datenschutzausschusses

Die Hauptaufgabe des Europäischen Datenschutzausschusses besteht darin, die einheitliche Anwendung des Datenschutzrechts in der Europäischen Union sicherzustellen. Hierzu kann der Europäische Datenschutzausschuss allgemeine Richtlinien herausgeben, die mehr Rechtsklarheit schaffen sollen, indem sie einheitliche Auslegungen zur Begrifflichkeit der Datenschutzgesetze vorgeben. Der Europäische Datenschutzausschuss veröffentlicht darüber hinaus auch weitere allgemeine Anleitungen wie Empfehlungen und bewährte Verfahren, die ebenfalls für mehr Rechtsklarheit sorgen sollen.

Weitere Aufgaben des Europäischen Datenschutzausschusses

Der Aufgabenbereich des Europäischen Datenschutzausschusses geht allerdings über die Veröffentlichung von Richtlinien hinaus. Der Europäische Datenschutzausschuss kann nämlich auch durch verbindliche Beschlüsse Rechtsstreitigkeiten beilegen. Zudem fördert der Europäische Datenschutzausschuss die Zusammenarbeit zwischen den nationalen Aufsichtsbehörden und nimmt zu deren Maßnahmen Stellung. In allen Fragen des Datenschutzes inklusive zugehöriger Gesetzesvorschläge berät der Europäische Datenschutzausschuss die Europäische Kommission.

Die DS-GVO hat die Position Betroffener gestärkt und ihnen eine Reihe von verschiedenen Rechten eingeräumt. Eines davon ist der Löschanspruch, der besagt, dass betroffene Personen verlangen dürfen, dass ihre personenbezogenen Daten gelöscht werden. Machen sie dieses Recht gegenüber dem Verantwortlichen geltend, spricht man von einem Löschersuchen.

Form und Voraussetzungen des Löschanspruchs

Formelle Anforderungen an Löschersuchen selbst gibt es nicht. Allerdings muss für das Bestehen eines Löschanspruchs ein Löschgrund vorliegen und es darf keine Ausnahmeregelung greifen. Machen betroffene Personen ihren Löschanspruch geltend, führt dies deshalb nicht automatisch zu einer Löschpflicht. Vielmehr sind Unternehmen verpflichtet, das Bestehen des Löschanspruchs zu prüfen und abhängig vom Ergebnis dieser Prüfung der betroffenen Person zu antworten. Beim aktiv geltend gemachten Löschanspruch müssen Unternehmen deshalb einerseits den Anspruchsteller eindeutig identifizieren und andererseits das Vorliegen eines Löschgrunds prüfen.
Löschgründe gem. Art. 17 Abs. 1 lit. a–f DS-GVO sind:

  1. Zweckwegfall
  2. Widerruf der Einwilligung und keine andere Rechtsgrundlage
  3. Widerspruch nach Art 21 DS-GVO und kein überwiegendes berechtigtes Interesse
  4. unrechtmäßige Datenverarbeitung
  5. Löschung zur Erfüllung einer rechtlichen Pflicht notwendig
  6. Sonderfall: Dienste von Informationsgesellschaften

Liegt einer dieser Gründe vor, müssen Verantwortliche die Daten des Betroffenen fristgerecht löschen, es sein denn, es greift eine der folgenden Ausnahmen des Art. 17 Abs. 3 lit. a–e DS-GVO:

  1. Ausübung des Rechts zur freien Meinungsäußerung
  2. Daten zur Erfüllung einer gesetzl. Pflicht oder Wahrnehmung einer Aufgabe im öffentlichen Interesse erforderlich
  3. Sonderfall: Gesundheitsdaten im öffentlichen Interesse
  4. Sonderfall: Archiv- und Forschungszwecke
  5. Geltendmachung von Rechten oder Abwehr von Ansprüchen

Die im Arbeitsalltag wohl am häufigsten zutreffende Ausnahme ist die Erfüllung einer gesetzlichen Pflicht. Hierzu zählen nämlich auch gesetzliche Aufbewahrungspflichten (z. B. aus dem Handelsrecht und dem Arbeitsrecht).

Greift eine der genannten Ausnahmen, besteht kein Löschanspruch. Dem Betroffenen gegenüber muss als Antwort auf sein Löschersuchen allerdings mitgeteilt werden, warum zurzeit kein Löschanspruch besteht, und ggf., wann seine Daten gelöscht werden.

Bearbeitung von Löschersuchen

Wie auch bei den übrigen Betroffenenrechten werden an die Bearbeitung von Löschansprüchen strenge Vorgaben gestellt. Generell gilt, dass Unternehmen nur einen Monat Zeit haben, um auf Betroffenenanfragen zu reagieren und die geltend gemachten Betroffenenrechte zu erfüllen. Hierzu gehört auch die Identifikation der jeweiligen Person und die Prüfung, ob das geltend gemachte Recht überhaupt besteht. In diesem Fall heißt das, es muss geprüft werden, ob ein Löschgrund vorliegt und ob eine der Ausnahmen greift. Zudem muss die Bearbeitung ordnungsgemäß dokumentiert werden, um der Rechenschaftspflicht nachzukommen und etwaige Nachfragen seitens des Betroffenen oder der Aufsichtsbehörde beantworten zu können.
Daneben müssen Unternehmen aber auch sicherstellen, dass in ihren Prozessen grundsätzlich Löschfristen definiert und entsprechende Löschprozesse implementiert sind. Die DS-GVO verpflichtet Unternehmen nämlich nicht nur im Rahmen von aktiv geltend gemachten Löschersuchen zur Löschung personenbezogener Daten, sondern sie verbietet ihnen auch grundsätzlich, personenbezogene Daten länger als notwendig zu speichern. Personenbezogene Daten müssen deshalb auch dann gelöscht werden, wenn die betroffene Person dies nicht ausdrücklich verlangt.

Brauchen Sie Unterstützung bei der datenschutzkonformen Bearbeitung von Löschersuchen oder der Implementierung eines Prozesses zur Bearbeitung und Dokumentation der geltend gemachten Löschansprüche? Wir beraten und unterstützen Sie gerne – kontaktieren Sie unsere Mitarbeiterinnen Frau Heil oder Frau Krämer telefonisch (0911 37677095) oder per E-Mail (office@ascon-datenschutz.de) oder nutzen Sie unser Kontaktformular!

Pseudonymisierung

Ein Grundsatz der DS-GVO ist die Datenminimierung. Danach sollen personenbezogene Daten nur in der Menge und in dem Rahmen verarbeitet werden, wie es unbedingt notwendig ist. Eine Maßnahme zur Umsetzung dieses Grundsatzes ist die Pseudonymisierung. Unter Pseudonymisierung versteht man die Veränderung von personenbezogenen Daten in einer Weise, die die Identifizierung der betroffenen Person nur mithilfe weiterer Informationen möglich macht (Art. 4 Nr. 5 DS-GVO). Die weiteren Informationen sind der „Schlüssel“, durch den die Daten eindeutig einer Person zugeordnet werden können. Die Daten und der „Schlüssel“ müssen getrennt aufbewahrt und jeweils durch technische und organisatorische Maßnahmen geschützt werden.

Folgen der Pseudonymisierung

Im Gegensatz zur Anonymisierung verlieren pseudonymisierte Daten nicht das Merkmal „personenbezogen“, da die betroffene Person auch nach der Pseudonymisierung identifizierbar bleibt. Daher stellt der Erwägungsgrund 26 der DS-GVO explizit klar, dass pseudonymisierte Daten unter den Anwendungsbereich der DS-GVO fallen.
Allerdings stellt die Pseudonymisierung nicht nur eine Methode zur Datenminimierung dar. In Art. 32 Abs. 1 lit. a) DS-GVO wird die Pseudonymisierung konkret als Maßnahme genannt, um die Sicherheit personenbezogener Daten zu erhöhen. Zudem wird in Erwägungsgrund 28 der DS-GVO verdeutlicht, dass die Anwendung der Pseudonymisierung Risiken minimieren und dazu beitragen kann, die Grundsätze des Datenschutzes zu erfüllen.

Beispiele für die Pseudonymisierung

Ein typisches Beispiel für die Pseudonymisierung ist das Ersetzen von Namen durch Kunden- oder Auftragsnummern beispielsweise im produzierenden Gewerbe. Die Mitarbeiter in der Produktion oder der Packerei bearbeiten die Aufträge anhand von Kunden- oder Auftragsnummern, können diese aber der natürlichen Person (dem Kunden) nicht zuordnen. Eine Identifikation ist nur für die Abteilung möglich, die über eine Liste die Kunden-/Auftragsnummern den jeweiligen Kunden zuordnen kann.
Es können nicht nur Namen durch Kennzahlen ersetzt werden, es ist auch möglich, andere Identifikationsmerkmale durch Kennzeichnungen zu pseudonymisieren. Wichtig ist nur, dass eine Identifikation der betroffenen Person im Anschluss ausgeschlossen oder wesentlich erschwert ist. Die Daten bleiben dabei – in Abgrenzung zur Verschlüsselung – lesbar und der Vorgang kann mithilfe eines „Schlüssels“ rückgängig gemacht werden.

Richtigkeitsgebot

Das Richtigkeitsgebot gehört zu den wichtigsten Grundsätzen der DS-GVO. Nach dem Grundsatz der Richtigkeit sind Unternehmen dafür verantwortlich, dass Daten korrekt erhoben und weitergegeben werden. Sollten dennoch Fehler enthalten sein, sind sie dazu verpflichtet, die entsprechenden Daten zu korrigieren.

Aspekte des Richtigkeitsgebots

Das Richtigkeitsgebot lässt sich in drei Aspekte gliedern: Datenwahrheit, Datenaktualität und Datenvollständigkeit.
Der Aspekt der Datenwahrheit beinhaltet, dass personenbezogene Daten sachlich richtig sein müssen. Das heißt, die Informationen über den Betroffenen müssen korrekt sein und Verhältnisse wirklichkeitsgetreu darstellen.
Zudem müssen die Daten auf dem aktuellen Stand sein (Datenaktualität) – zum Zeitpunkt der Beurteilung veraltete Daten sind nicht korrekt. Daten, die ihre rechtliche Bedeutung verloren haben, gelten ebenfalls als nicht aktuell und damit als unrichtig.
Zuletzt hat der Verantwortliche dafür Sorge zu tragen, dass die Daten vollständig sind (Datenvollständigkeit). Kann der Verarbeitungszweck nicht erreicht werden oder kann es zu Missverständnissen kommen, weil der Datensatz nicht vollständig ist, gelten die Daten auch als unrichtig.

Bedeutung des Richtigkeitsgebots

Eine falsche Datenerhebung kann für den Betroffenen verschiedenste Folgen haben. Am prägnantesten sind die wirtschaftlichen Auswirkungen, wenn unrichtige Informationen bei Auskunfteien wie der Schufa hinterlegt werden. So kann es beispielsweise passieren, dass aufgrund eines kleinen Rechtschreibfehlers zu ein und derselben Person zwei Datensätze entstehen und nicht mehr alle Daten der betroffenen Person zugeordnet werden, weil das System nicht erkennt, dass zum Beispiel Stefan und Stephan dieselbe Person ist.
Das Gleiche gilt, wenn die betroffene Person heiratet und einen neuen Nachnamen annimmt. Werden die Daten bei der Auskunftei nicht aktualisiert, kann der Betroffene nicht mehr zugeordnet werden und es können wiederum zwei Datensätze zu einer Person entstehen.
Zudem kann es negative Folgen für den Betroffenen haben, wenn die gespeicherten Daten nicht vollständig sind. Werden beispielsweise geleistete Mietzahlungen beim Vermieter nicht erfasst und als ausstehend gemeldet, ist in der Schufa-Auskunft eine schlechte Bonität dokumentiert.
Sind Datensätze inkorrekt, nicht aktuell oder unvollständig, kann das dazu führen, dass die betroffene Person ihre Rechte aus der DS-GVO nicht mehr effektiv wahrnehmen kann, beispielsweise weil ihr nicht alle Daten zugeordnet werden können. Deshalb hat der Gesetzgeber Unternehmen über den Grundsatz der Richtigkeit auferlegt sicherzustellen, dass sich bei personenbezogenen Daten keine Fehler einschleichen, und falls doch, dass diese entsprechend korrigiert werden.

Verantwortlicher

Verantwortlicher im Sinne des Datenschutzes ist diejenige natürliche oder juristische Person oder andere Stelle, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet (Art. 4 Nr. 7 DS-GVO). Die betreffende Stelle trägt einzig und allein die Verantwortung für die Einhaltung und Umsetzung der datenschutzrechtlichen Vorschriften. In der Regel ist das jeweilige Unternehmen, das juristisch durch seine Geschäftsführung vertreten wird, die verantwortliche Stelle im Sinne der DS-GVO.
Die Verantwortung für die Verarbeitung personenbezogener Daten kann nicht delegiert werden. Deshalb ist es unerlässlich, dass sich die Geschäftsführung als faktisch Verantwortlicher mit dem Thema Datenschutz auseinandersetzt und über alle notwendigen Kenntnisse verfügt, um Entscheidungen mit der nötigen Sorgfalt treffen zu können.

Aufgaben des Verantwortlichen

Es gibt etliche datenschutzrechtliche Aufgaben, die im Alltag an andere Personen wie den Datenschutzkoordinator oder an untergeordnete Führungskräfte delegiert werden können. Die Grundsatzentscheidungen, datenschutzrechtliche Leit- und Richtlinien sowie Prozesse zur Einhaltung der datenschutzrechtlichen Vorgaben müssen aber von den Geschäftsführern persönlich getroffen, mitgetragen und implementiert werden. Nur so wird der Verantwortliche seiner gesetzlichen Verantwortung gerecht und sorgt dafür, dass auch die Mitarbeiter das Thema Datenschutz ernst nehmen und entsprechende Anforderungen akzeptieren und erfüllen. Folgende Aufgaben bzw. Fragen müssen in der Regel von der Geschäftsführung bearbeitet oder beantwortet werden:

  • Bestellung des Datenschutzbeauftragen und Abschluss des Dienstleistungsvertrags
  • Ziele, Dauer und Umfang des Datenschutzprojekts
  • Abschluss und Inhalt einer EDV-Nutzungsvereinbarung
  • Erstellung oder Prüfung des Datenschutzkonzepts
  • Vorgabe von datenschutzrechtlichen Leit- und Richtlinien
  • Implementieren eines Datenschutzmanagements
  • Umstellung von betrieblichen Prozessen zur Berücksichtigung des Datenschutzes
  • Entscheidung über die Umsetzung empfohlener Maßnahmen
  • Einzelfallentscheidungen bei unterschiedlichen Möglichkeiten mit verschieden hohem Risiko
  • Meldung eines Datenschutzvorfalls und Information der betroffenen Personen

Haftung des Verantwortlichen

Selbst wenn der Verantwortliche einzelne Aufgaben delegiert, steht er datenschutzrechtlich dennoch in der Verantwortung und kann sich nicht darauf berufen, sich nicht selbst darum gekümmert zu haben.
Im Datenschutzbereich können bei Pflichtverletzungen sowohl Geschäftsführer als auch Vorstände persönlich schadensersatzpflichtig sein, sollten sie ihrer Sorgfaltspflicht nicht nachkommen. Dies betrifft nicht nur Gesellschafter einer Personengesellschaft, auch die Geschäftsführung einer Kapitalgesellschaft trägt ein persönliches Haftungsrisiko. Schadensersatzforderungen und Bußgelder richten sich zwar stets direkt an die Gesellschaft, diese kann den Geschäftsführer aber in Regress nehmen.
Nach Ansicht der europäischen Gesetzgeber ist die Einhaltung der datenschutzrechtlichen Vorgaben eine der zentralen Aufgaben der Geschäftsleitung, sodass der strenge Sorgfaltsmaßstab der Generalklausel des § 43 GmbHG bzw. des § 93 Abs. 2 AktG gilt.

Verfahrensverzeichnis

Der Begriff „Verfahrensverzeichnis“ stammt aus dem alten Bundesdatenschutzgesetz (BDSG) und wird in der neuen EU-Verordnung – der DS-GVO – als „Verzeichnis der Verarbeitungstätigkeiten“ bezeichnet. Der Begriff Verfahrensverzeichnis wird auch heute noch vielfach genutzt, weil „Verfahrensverzeichnis“ nicht ganz so sperrig klingt wie „Verzeichnis der Verarbeitungstätigkeiten“ und Namensänderungen nicht nur im Gesetzestext viel Zeit in Anspruch nehmen, sondern der alte und bisher gebräuchliche Name auch deutlich länger in den Köpfen der Anwender verankert ist.

Verfahrensverzeichnis ist nicht gleich Verzeichnis der Verarbeitungstätigkeiten

Auch wenn der Begriff Verfahrensverzeichnis heute oft als Synonym verwendet wird, bestehen zwischen dem Verzeichnis der Verarbeitungstätigkeiten nach der DS-GVO und dem alten Verfahrensverzeichnis nach dem BDSG inhaltliche Unterschiede. Wichtig zu wissen ist deshalb, dass mit dem Begriff Verfahrensverzeichnis heute zwar das Verzeichnis der Verarbeitungstätigkeiten gemeint ist, ein vorhandenes Verfahrensverzeichnis im Unternehmen aus den Jahren vor der DS-GVO aber nicht den heute gültigen gesetzlichen Mindestanforderungen genügt. Genauere Informationen zum Inhalt des Verfahrensverzeichnisses sind beim Verzeichnis der Verarbeitungstätigkeiten zu finden.

Lassen Sie sich von einem Datenschutzexperten beraten!

Brauchen Sie Unterstützung bei der Prüfung und Anpassung Ihres Verfahrensverzeichnisses oder bei der Erstellung des Verzeichnisses der Verarbeitungstätigkeiten? Sind Sie unsicher, ob Ihr bereits erstelltes Verzeichnis wirklich alle Anforderungen der DS-GVO erfüllt? Wir beraten und unterstützen Sie gerne – kontaktieren Sie unsere Mitarbeiterinnen Frau Heil oder Frau Krämer telefonisch (0911 37677095) oder per E-Mail (office@ascon-datenschutz.de) oder nutzen Sie unser Kontaktformular!

Verzeichnis der Verarbeitungstätigkeiten

Das Verzeichnis der Verarbeitungstätigkeiten ist eine gesetzlich vorgeschriebene Übersicht über alle Prozesse im Unternehmen, bei denen personenbezogene Daten verarbeitet werden. Die gesetzlich vorgeschriebene Übersicht gibt es nicht erst seit Gültigkeit der DS-GVO, sondern sie war bereits nach dem Bundesdatenschutzgesetz (BDSG) zu führen. Damals hieß die Übersicht aber nicht Verzeichnis der Verarbeitungstätigkeiten, sondern Verfahrensverzeichnis, und war inhaltlich nicht so umfangreich wie das jetzige Verzeichnis der Verarbeitungstätigkeiten.

Verzeichnis der Verarbeitungstätigkeiten – mehr als eine gesetzliche Pflicht

Die Erstellung dieses Verzeichnisses ist nicht nur nach Art. 30 DS-GVO gesetzlich verpflichtend, sondern es handelt sich beim Verzeichnis der Verarbeitungstätigkeiten auch um das zentrale Dokument der Datenschutzdokumentation im Unternehmen. Das Verzeichnis der Verarbeitungstätigkeiten dient dem Nachweis der Zulässigkeit der Verarbeitung personenbezogener Daten und der Einhaltung der gesetzlichen Bestimmungen. Nur wenn Unternehmen wissen, an welchen Stellen sie welche personenbezogene Daten zu welchem Zweck und auf welcher Rechtsgrundlage verarbeiten, können sie gewährleisten, dass alle Vorgaben der DS-GVO eingehalten werden.

Verzeichnis der Verarbeitungstätigkeiten – was muss angegeben werden?

Das Verzeichnis der Verarbeitungstätigkeiten ist damit eine schriftliche Dokumentation jedes einzelnen Verfahrens im Unternehmen, bei dem personenbezogene Daten in irgendeiner Art verarbeitet werden. Es ist exakt darzulegen, was genau mit welchen Daten passiert, das heißt beispielsweise, welche personenbezogenen Daten und welche Personen betroffen sind, wer Zugriff auf diese Daten hat und zu welchem Zweck sie verarbeitet werden. Zudem muss angegeben werden, mit welcher Frist gespeicherte und aufbewahrte Daten gelöscht beziehungsweise vernichtet werden und mit welchen technischen und organisatorischen Maßnahmen die Daten geschützt werden.

Aufgrund dieser gebündelten Menge an unterschiedlichsten Informationen zählt die Erstellung des Verzeichnisses der Verarbeitungstätigkeiten zu den aufwendigsten Aufgaben bei der Umsetzung der DS-GVO. Das Verzeichnis der Verarbeitungstätigkeiten kann nicht allein von einer Person erstellt und gepflegt werden, da einerseits Detailwissen über die exakten Abläufe innerhalb der Verfahren und andererseits datenschutzspezifisches Wissen über die Konsequenzen des Wie der jeweiligen Verarbeitung sowie zur Beurteilung der Risiken und notwendigen Schutzmaßnahmen erforderlich ist.

Regelmäßige Aktualisierung notwendig

Wichtig ist, dass das Verzeichnis der Verarbeitungstätigkeiten nach der erstmaligen Erstellung regelmäßig angepasst und aktualisiert wird. Prozesse in Unternehmen ändern sich immer wieder oder es kommen neue hinzu, weshalb das Verzeichnis der Verarbeitungstätigkeiten dementsprechend zu aktualisieren und auf den neuesten Stand zu bringen ist. Die gesetzliche Pflicht besteht nicht nur in der Erstellung, sondern auch in der Fortführung des Verzeichnisses.
Entspricht das Verzeichnis der Verarbeitungstätigkeiten den gesetzlichen Anforderungen des Art. 30 DS-GVO nicht, hat ein Unternehmen gar kein Verzeichnis erstellt. Stellt das Unternehmen der Aufsichtsbehörde das Verzeichnis nicht vollständig bereit, kann dies die Verhängung eines Bußgeldes durch die zuständige Aufsichtsbehörde zur Folge haben.

Lassen Sie sich von einem Datenschutzexperten beraten!

Brauchen Sie Unterstützung bei der Erstellung des Verzeichnisses der Verarbeitungstätigkeiten oder sind Sie sich nicht sicher, ob Ihr bereits erstelltes Verzeichnis wirklich alle Anforderungen der DS-GVO erfüllt? Wir beraten und unterstützen Sie gerne – kontaktieren Sie unsere Mitarbeiterinnen Frau Heil oder Frau Krämer telefonisch (0911 37677095) oder per E-Mail (office@ascon-datenschutz.de) oder nutzen Sie unser Kontaktformular!