Datenschutz-ABC

Die Aufsichtsbehörde ist eine staatliche Einrichtung, deren Hauptaufgabe darin besteht, zu kontrollieren, ob die Vorschriften der Gesetze zum Datenschutz eingehalten werden oder nicht. Bei Verstößen gegen Datenschutzvorschriften kann die Aufsichtsbehörde entsprechende Sanktionen verhängen – die bekannteste Sanktion der Aufsichtsbehörde ist das Bußgeld.

Mehr erfahren

Auftragsverarbeitung bezeichnet eine bestimmte Art der Zusammenarbeit von Unternehmen, bei der personenbezogene Daten verarbeitet werden. Eine Auftragsverarbeitung liegt immer dann vor, wenn ein Unternehmen (der sog. Auftragnehmer) im Auftrag eines anderen Unternehmens (dem Auftraggeber) personenbezogene Daten erhebt, verarbeitet oder nutzt. In Abgrenzung zu anderen Konstellationen der Zusammenarbeit von Unternehmen ist der Auftragnehmer dem Auftraggeber gegenüber streng weisungsgebunden.

Mehr erfahren

Eine Auftragsverarbeitungsvereinbarung (AVV) ist eine vertragliche Regelung über die datenschutzrechtlichen Pflichten zweier Unternehmen. Die Auftragsverarbeitungsvereinbarung ist die nach Art. 28 Abs. 3 DS-GVO zwingend erforderliche vertragliche Grundlage einer Auftragsverarbeitung.

Mehr erfahren

Die DS-GVO hat die Position Betroffener gestärkt und sie mit einer Menge unterschiedlicher Rechte ausgestattet. Eines dieser Rechte ist der Auskunftsanspruch, der betroffene Personen berechtigt zu erfragen, ob und wie ihre personenbezogenen Daten von dem jeweiligen Unternehmen verarbeitet werden. Machen sie dieses Recht gegenüber dem Verantwortlichen geltend, spricht man von einem Auskunftsersuchen.

Mehr erfahren

Die DS-GVO hat die Rechtsposition von betroffenen Personen erheblich gestärkt und ihnen in Bezug auf die Verarbeitung ihrer personenbezogenen Daten eine Reihe von Rechten gegeben. Diese Rechte bezeichnet man als Betroffenenrechte. Betroffenenrechte sind damit unterschiedliche Rechte, die Personen geltend machen können, deren personenbezogene Daten verarbeitet werden.

Mehr erfahren

Zu den Neuerungen, die die DS-GVO für den Datenschutz mit sich gebracht hat, gehören auch die sehr hohen Bußgelder bei Verletzungen der Vorgaben. Verstoßen Verantwortliche gegen ihre datenschutzrechtlichen Pflichten nach der DS-GVO, kann die zuständige Datenschutz-Aufsichtsbehörde ein Bußgeld verhängen.

Mehr erfahren

Cookies sind kleine browserspezifische Textdateien, die auf dem Endgerät des Seitenbesuchers abgelegt werden. Abhängig von ihrem Verwendungszweck speichern sie im Browser des Users bestimmte Informationen wie beispielsweise Login-Daten, Surfverhalten, Einstellungen und Aktionen in Webapplikationen.

Mehr erfahren

Die Datenminimierung gehört zu den zentralen Grundsätzen der DS-GVO. Nach dem Grundsatz der Datenminimierung werden Unternehmen verpflichtet, nur diejenigen personenbezogenen Daten zu verarbeiten, die zur Erreichung des Verarbeitungszwecks notwendig sind. Datenminimierung bedeutet damit, dass Unternehmen jedes einzelne Datum, dass sie erheben und verarbeiten wollen, auf einen bestimmten festgelegten Zweck zurückführen müssen und das Datum zur Erreichung dieses Zwecks unbedingt benötigen.

Mehr erfahren

Ein Datenschutzbeauftragter (DSB) ist Fachmann und Berater in allen Fragen des Datenschutzes. Seine Aufgabe ist es, dafür Sorge zu tragen, dass die datenschutzrechtlichen Vorschriften zur Verarbeitung personenbezogener Daten eingehalten werden. Ein Datenschutzbeauftragter informiert, berät und unterstützt die Geschäftsführung bei der Umsetzung des Datenschutzrechts in ihrem Unternehmen.

Mehr erfahren

Die Datenschutzkonferenz (DSK) ist ein Gremium, das sich aus den unabhängigen Datenschutzbehörden des Bundes und der Länder zusammensetzt. Die Datenschutzkonferenz wird in ihrer Arbeit durch eine Reihe von Arbeitskreisen unterstützt, die sich jeweils mit einem anderen Themengebiet befassen, beispielsweise mit Videoüberwachung, Technik, Justiz und Beschäftigtendatenschutz.

Mehr erfahren

Der Datenschutzkoordinator ist das Bindeglied zwischen der Geschäftsführung und dem Datenschutzbeauftragten. Er ist für die Datenschutzarbeit im Alltag zuständig und übernimmt bürokratische Aufgaben sowie die Dokumentation aller datenschutzrelevanter Themen. Mit seiner Arbeit unterstützt der Datenschutzkoordinator den Verantwortlichen und den Datenschutzbeauftragten bei der Erfüllung ihrer datenschutzrechtlichen Pflichten und Aufgaben.

Mehr erfahren

Drittländer im Sinne der DS-GVO sind kurz gesagt alle Staaten außerhalb der Europäischen Union (EU) beziehungsweise des Europäischen Wirtschaftsraums (EWR). Da in diesen Ländern europäische Verordnungen nicht gelten, werden an die Datenübermittlung hohe Anforderungen gestellt, um die Sicherheit personenbezogener Daten auch außerhalb des Geltungsbereichs der DS-GVO auf einem gleichwertigen Niveau zu gewährleisten.

Mehr erfahren

Die DS-GVO schreibt vor, dass zunächst einmal jede Verarbeitung personenbezogener Daten unzulässig ist, es sein denn, es liegt eine Rechtsgrundlage nach Art. 6 DS-GVO bzw. Art. 9 DS-GVO vor (sog. Erlaubnisvorbehalt). Einer dieser Erlaubnistatbestände ist die informierte Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a) i. V. m. Art. 7, 8 DS-GVO.

Mehr erfahren

Der Europäische Datenschutzausschuss (EDSA) ist das Nachfolgegremium der Artikel-29-Datenschutzgruppe. Das Gremium hat eine eigene Rechtspersönlichkeit und kann rechtsverbindliche Entscheidungen treffen. Der Europäische Datenschutzausschuss setzt sich aus den nationalen Datenschutzbehörden und dem Europäischen Datenschutzbeauftragten (EDSB) zusammen. Der Europäische Datenschutzausschuss ist unabhängig und weisungsfrei.

Mehr erfahren

Geeignete Garantien sind eine von drei Möglichkeiten für den datenschutzkonformen Transfer personenbezogener Daten in ein Land, das nicht in den Anwendungsbereich der DS-GVO fällt. Sollen personenbezogene Daten aus der EU in ein solches Drittland übermittelt werden, muss sichergestellt sein, dass die Daten im Empfängerland einem Schutzniveau unterliegen, das mit dem der DS-GVO vergleichbar ist. Deshalb ist ein Datentransfer in diese Länder nur unter den speziellen Voraussetzungen der Art. 44 ff. DS-GVO zulässig.

Mehr erfahren

Die DS-GVO hat die Position Betroffener gestärkt und ihnen eine Reihe von verschiedenen Rechten eingeräumt. Eines davon ist der Löschanspruch, der besagt, dass betroffene Personen verlangen dürfen, dass ihre personenbezogenen Daten gelöscht werden. Machen sie dieses Recht gegenüber dem Verantwortlichen geltend, spricht man von einem Löschersuchen.

Mehr erfahren

Kommt es zu einer Datenpanne, das heißt, wird die Sicherheit personenbezogener Daten verletzt, ist der Verantwortliche gesetzlich dazu verpflichtet, diesen Vorfall zu melden. Zum einen besteht die Meldepflicht gegenüber der zuständigen Aufsichtsbehörde (Art. 33 DS-GVO). Zum anderen müssen unter Umständen auch die betroffenen Personen über die Datenpanne informiert werden (Art. 34 DS-GVO).

Mehr erfahren

Ein Grundsatz der DS-GVO ist die Datenminimierung. Danach sollen personenbezogene Daten nur in der Menge und in dem Rahmen verarbeitet werden, wie es unbedingt notwendig ist. Eine Maßnahme zur Umsetzung dieses Grundsatzes ist die Pseudonymisierung. Unter Pseudonymisierung versteht man die Veränderung von personenbezogenen Daten in einer Weise, die die Identifizierung der betroffenen Person nur mithilfe weiterer Informationen möglich macht (Art. 4 Nr. 5 DS-GVO).

Mehr erfahren

Das Richtigkeitsgebot gehört zu den wichtigsten Grundsätzen der DS-GVO. Nach dem Grundsatz der Richtigkeit sind Unternehmen dafür verantwortlich, dass Daten korrekt erhoben und weitergegeben werden. Sollten dennoch Fehler enthalten sein, sind sie dazu verpflichtet, die entsprechenden Daten zu korrigieren.

Mehr erfahren

Bei den Standardvertragsklauseln oder auch Standarddatenschutzklauseln handelt es sich um Vertragsmuster, die Verantwortliche und Auftragsverarbeiter verwenden können, um den Datentransfer in ein Drittland zu legitimieren (Art. 45 Abs. 2 lit. c), d) DS-GVO).

Mehr erfahren

Die DS-GVO verpflichtet Verantwortliche und Auftragsverarbeiter, personenbezogene Daten ausreichend zu schützen, insbesondere im Hinblick auf die Vertraulichkeit, die Integrität sowie die Verfügbarkeit und die Belastbarkeit der Systeme. Sie müssen unter Berücksichtigung festgelegter Faktoren Vorkehrungen treffen, um ein angemessenes Schutzniveau sicherzustellen.

Mehr erfahren

Verantwortlicher im Sinne des Datenschutzes ist diejenige natürliche oder juristische Person oder andere Stelle, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet (Art. 4 Nr. 7 DS-GVO). Die betreffende Stelle trägt einzig und allein die Verantwortung für die Einhaltung und Umsetzung der datenschutzrechtlichen Vorschriften. In der Regel ist das jeweilige Unternehmen, das juristisch durch seine Geschäftsführung vertreten wird, die verantwortliche Stelle im Sinne der DS-GVO.

Mehr erfahren

Der Begriff „Verfahrensverzeichnis“ stammt aus dem alten Bundesdatenschutzgesetz (BDSG) und wird in der neuen EU-Verordnung – der DS-GVO – als „Verzeichnis der Verarbeitungstätigkeiten“ bezeichnet.

Mehr erfahren

Das Verzeichnis der Verarbeitungstätigkeiten ist eine gesetzlich vorgeschriebene Übersicht über alle Prozesse im Unternehmen, bei denen personenbezogene Daten verarbeitet werden. Die gesetzlich vorgeschriebene Übersicht gibt es nicht erst seit Gültigkeit der DS-GVO, sondern sie war bereits nach dem Bundesdatenschutzgesetz (BDSG) zu führen.

Mehr erfahren