Datenschutz-ABC
Die Aufsichtsbehörde ist eine staatliche Einrichtung, deren Hauptaufgabe darin besteht, zu kontrollieren, ob die Vorschriften der Gesetze zum Datenschutz eingehalten werden oder nicht. Bei Verstößen gegen Datenschutzvorschriften kann die Aufsichtsbehörde entsprechende Sanktionen verhängen – die bekannteste Sanktion der Aufsichtsbehörde ist das Bußgeld.
Auftragsverarbeitung bezeichnet eine bestimmte Art der Zusammenarbeit von Unternehmen, bei der personenbezogene Daten verarbeitet werden. Eine Auftragsverarbeitung liegt immer dann vor, wenn ein Unternehmen (der sog. Auftragnehmer) im Auftrag eines anderen Unternehmens (dem Auftraggeber) personenbezogene Daten erhebt, verarbeitet oder nutzt. In Abgrenzung zu anderen Konstellationen der Zusammenarbeit von Unternehmen ist der Auftragnehmer dem Auftraggeber gegenüber streng weisungsgebunden.
Die DS-GVO hat die Position Betroffener gestärkt und sie mit einer Menge unterschiedlicher Rechte ausgestattet. Eines dieser Rechte ist der Auskunftsanspruch, der betroffene Personen berechtigt zu erfragen, ob und wie ihre personenbezogenen Daten von dem jeweiligen Unternehmen verarbeitet werden. Machen sie dieses Recht gegenüber dem Verantwortlichen geltend, spricht man von einem Auskunftsersuchen.
Die DS-GVO hat die Rechtsposition von betroffenen Personen erheblich gestärkt und ihnen in Bezug auf die Verarbeitung ihrer personenbezogenen Daten eine Reihe von Rechten gegeben. Diese Rechte bezeichnet man als Betroffenenrechte. Betroffenenrechte sind damit unterschiedliche Rechte, die Personen geltend machen können, deren personenbezogene Daten verarbeitet werden.
Zu den Neuerungen, die die DS-GVO für den Datenschutz mit sich gebracht hat, gehören auch die sehr hohen Bußgelder bei Verletzungen der Vorgaben. Verstoßen Verantwortliche gegen ihre datenschutzrechtlichen Pflichten nach der DS-GVO, kann die zuständige Datenschutz-Aufsichtsbehörde ein Bußgeld verhängen.
Die Datenminimierung gehört zu den zentralen Grundsätzen der DS-GVO. Nach dem Grundsatz der Datenminimierung werden Unternehmen verpflichtet, nur diejenigen personenbezogenen Daten zu verarbeiten, die zur Erreichung des Verarbeitungszwecks notwendig sind. Datenminimierung bedeutet damit, dass Unternehmen jedes einzelne Datum, dass sie erheben und verarbeiten wollen, auf einen bestimmten festgelegten Zweck zurückführen müssen und das Datum zur Erreichung dieses Zwecks unbedingt benötigen.
Ein Datenschutzbeauftragter (DSB) ist Fachmann und Berater in allen Fragen des Datenschutzes. Seine Aufgabe ist es, dafür Sorge zu tragen, dass die datenschutzrechtlichen Vorschriften zur Verarbeitung personenbezogener Daten eingehalten werden. Ein Datenschutzbeauftragter informiert, berät und unterstützt die Geschäftsführung bei der Umsetzung des Datenschutzrechts in ihrem Unternehmen.
Die Datenschutzkonferenz (DSK) ist ein Gremium, das sich aus den unabhängigen Datenschutzbehörden des Bundes und der Länder zusammensetzt. Die Datenschutzkonferenz wird in ihrer Arbeit durch eine Reihe von Arbeitskreisen unterstützt, die sich jeweils mit einem anderen Themengebiet befassen, beispielsweise mit Videoüberwachung, Technik, Justiz und Beschäftigtendatenschutz.
Der Datenschutzkoordinator ist das Bindeglied zwischen der Geschäftsführung und dem Datenschutzbeauftragten. Er ist für die Datenschutzarbeit im Alltag zuständig und übernimmt bürokratische Aufgaben sowie die Dokumentation aller datenschutzrelevanter Themen. Mit seiner Arbeit unterstützt der Datenschutzkoordinator den Verantwortlichen und den Datenschutzbeauftragten bei der Erfüllung ihrer datenschutzrechtlichen Pflichten und Aufgaben.
Drittländer im Sinne der DS-GVO sind kurz gesagt alle Staaten außerhalb der Europäischen Union (EU) beziehungsweise des Europäischen Wirtschaftsraums (EWR). Da in diesen Ländern europäische Verordnungen nicht gelten, werden an die Datenübermittlung hohe Anforderungen gestellt, um die Sicherheit personenbezogener Daten auch außerhalb des Geltungsbereichs der DS-GVO auf einem gleichwertigen Niveau zu gewährleisten.
Die DS-GVO schreibt vor, dass zunächst einmal jede Verarbeitung personenbezogener Daten unzulässig ist, es sein denn, es liegt eine Rechtsgrundlage nach Art. 6 DS-GVO bzw. Art. 9 DS-GVO vor (sog. Erlaubnisvorbehalt). Einer dieser Erlaubnistatbestände ist die informierte Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a) i. V. m. Art. 7, 8 DS-GVO.
Der Europäische Datenschutzausschuss (EDSA) ist das Nachfolgegremium der Artikel-29-Datenschutzgruppe. Das Gremium hat eine eigene Rechtspersönlichkeit und kann rechtsverbindliche Entscheidungen treffen. Der Europäische Datenschutzausschuss setzt sich aus den nationalen Datenschutzbehörden und dem Europäischen Datenschutzbeauftragten (EDSB) zusammen. Der Europäische Datenschutzausschuss ist unabhängig und weisungsfrei.
Geeignete Garantien sind eine von drei Möglichkeiten für den datenschutzkonformen Transfer personenbezogener Daten in ein Land, das nicht in den Anwendungsbereich der DS-GVO fällt. Sollen personenbezogene Daten aus der EU in ein solches Drittland übermittelt werden, muss sichergestellt sein, dass die Daten im Empfängerland einem Schutzniveau unterliegen, das mit dem der DS-GVO vergleichbar ist. Deshalb ist ein Datentransfer in diese Länder nur unter den speziellen Voraussetzungen der Art. 44 ff. DS-GVO zulässig.
Die DS-GVO hat die Position Betroffener gestärkt und ihnen eine Reihe von verschiedenen Rechten eingeräumt. Eines davon ist der Löschanspruch, der besagt, dass betroffene Personen verlangen dürfen, dass ihre personenbezogenen Daten gelöscht werden. Machen sie dieses Recht gegenüber dem Verantwortlichen geltend, spricht man von einem Löschersuchen.
Kommt es zu einer Datenpanne, das heißt, wird die Sicherheit personenbezogener Daten verletzt, ist der Verantwortliche gesetzlich dazu verpflichtet, diesen Vorfall zu melden. Zum einen besteht die Meldepflicht gegenüber der zuständigen Aufsichtsbehörde (Art. 33 DS-GVO). Zum anderen müssen unter Umständen auch die betroffenen Personen über die Datenpanne informiert werden (Art. 34 DS-GVO).
Ein Grundsatz der DS-GVO ist die Datenminimierung. Danach sollen personenbezogene Daten nur in der Menge und in dem Rahmen verarbeitet werden, wie es unbedingt notwendig ist. Eine Maßnahme zur Umsetzung dieses Grundsatzes ist die Pseudonymisierung. Unter Pseudonymisierung versteht man die Veränderung von personenbezogenen Daten in einer Weise, die die Identifizierung der betroffenen Person nur mithilfe weiterer Informationen möglich macht (Art. 4 Nr. 5 DS-GVO).
Das Richtigkeitsgebot gehört zu den wichtigsten Grundsätzen der DS-GVO. Nach dem Grundsatz der Richtigkeit sind Unternehmen dafür verantwortlich, dass Daten korrekt erhoben und weitergegeben werden. Sollten dennoch Fehler enthalten sein, sind sie dazu verpflichtet, die entsprechenden Daten zu korrigieren.
Die DS-GVO verpflichtet Verantwortliche und Auftragsverarbeiter, personenbezogene Daten ausreichend zu schützen, insbesondere im Hinblick auf die Vertraulichkeit, die Integrität sowie die Verfügbarkeit und die Belastbarkeit der Systeme. Sie müssen unter Berücksichtigung festgelegter Faktoren Vorkehrungen treffen, um ein angemessenes Schutzniveau sicherzustellen.
Verantwortlicher im Sinne des Datenschutzes ist diejenige natürliche oder juristische Person oder andere Stelle, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet (Art. 4 Nr. 7 DS-GVO). Die betreffende Stelle trägt einzig und allein die Verantwortung für die Einhaltung und Umsetzung der datenschutzrechtlichen Vorschriften. In der Regel ist das jeweilige Unternehmen, das juristisch durch seine Geschäftsführung vertreten wird, die verantwortliche Stelle im Sinne der DS-GVO.
Das Verzeichnis der Verarbeitungstätigkeiten ist eine gesetzlich vorgeschriebene Übersicht über alle Prozesse im Unternehmen, bei denen personenbezogene Daten verarbeitet werden. Die gesetzlich vorgeschriebene Übersicht gibt es nicht erst seit Gültigkeit der DS-GVO, sondern sie war bereits nach dem Bundesdatenschutzgesetz (BDSG) zu führen.