Zum Inhalt springen
Home » Datenschutz-News » 31 FAQ zum Datenschutz: Was Sie schon immer zur DSGVO wissen wollten

31 FAQ zum Datenschutz: Was Sie schon immer zur DSGVO wissen wollten

1. Was ist das Ziel des Datenschutzes?

Ziel ist der Schutz des Einzelnen davor, dass er durch den Umgang mit seinen personenbezogenen Daten nicht in seinem Persönlichkeitsrecht beeinträchtigt wird. Jeder soll selber entscheiden können, was mit den Informationen geschieht, die ihn betreffen. Das Bundesverfassungsgericht stellte hierzu bereits 1983 fest:

„Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen“.

2. Wo wird der Datenschutz gesetzlich geregelt?

Seit dem 25.05.2018 ist der Datenschutz in der europäischen Datenschutzgrundverordnung (DSGVO), dem Bundesdatenschutzgesetz (BDSG) sowie in weiteren Spezialgesetzen (z.B. Sozialgesetzbüchern) geregelt.

3. Warum brauchen wir einen Schutz unserer Daten?

Jeder einzelne kann durch den Missbrauch seiner Daten beeinträchtigt werden: z.B. durch Identitätsdiebstahl, finanziellen Verlust oder Rufschädigung. Öffentlich bekanntgewordener Datenmissbrauch kann das Ansehen von Unternehmen erheblich beeinträchtigen und dadurch Schaden anrichten. In Arztpraxen dient effektiver Datenschutz zudem der gesetzlichen Schweigepflicht des Arztes.

4. Was schützt die DSGVO bzw. das Datenschutzrecht konkret?

Geschützt werden alle Daten mit Bezug zu einer natürlichen Person. Solche Daten bezeichnet man als personenbezogene Daten.

Es geht um den Schutz von Personen!

5. Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer oder zu Standortdaten identifiziert werden kann.

Beim Datenschutz geht es somit um den Schutz der Person, die hinter den Daten steht. Jeder Einzelne soll vor einer Verletzung seines Persönlichkeitsrechts durch den Umgang mit seinen personenbezogenen Daten geschützt werden.

Beispiele für personenbezogene Daten sind:

Beispiele für Kundendaten:
– Name, Vorname, Adresse, Geburtsdatum, Telefonnummer;
– Benutzerkennung, IP-Adresse, E-Mail-Adresse;
– Kontonummer;
– Nutzer- und Kaufverhalten;
– Matrikelnummer.

Beispiele für Mitarbeiterdaten:
– Versichertennummer (Krankenkasse);
– Lohn- und Gehaltsabrechnung;
– persönliches Abbild (Foto, Videoaufnahme);
– Arbeitnehmerverhalten;
– Personalnummer

usw.

6. Was sind personenbezogene Daten besonderer Kategorien?

Neben den „normalen“ personenbezogenen Daten, gibt es speziell solche, die als besonders schützenswert angesehen werden.

Dies sind personenbezogene Daten besonderer Kategorien. Die DSGVO bezeichnet hiermit Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. Diese Daten sind besonders schützenswert und sensibel.

7. Wann müssen Unternehmen die Vorschriften zum Datenschutz anzuwenden?

Die gesetzlichen Vorgaben zum Datenschutz sind immer dann zwingend zu berücksichtigen, wenn personenbezogene Daten „verarbeitet“ werden.

8. Wer ist der Verantwortliche eine Datenverarbeitung

Verantwortlicher“ ist jede natürliche oder juristische Person, Behörde oder Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.

Werden personenbezogene Daten innerhalb eines Unternehmens verarbeitet, z.B. zur Vertragserfüllung, ist das Unternehmen sodann „Verantwortlicher“ für die Datenverarbeitung.

9. Was bedeutet „Verarbeitung“ personenbezogener Daten?

Was eine Datenverarbeitung umfasst, ist gesetzlich in Art. 4 Nr. 2 DSGVO geregelt:

„Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.“

Datenverarbeitung umfasst dabei nicht alleine die digitale Verarbeitung. Auch analoge Datensammlungen, wie bspw. Personal- oder Patientenakten bzw. Datensammlungen auf Papier sie systematisch aufgebaut sind, werden von dem Begriff der Verarbeitung umfasst.

Grafik Datenverarbeitung

Vereinfacht gesprochen: „Verarbeiten“ ist alles, was mit den Daten einer Person geschieht.

10. Ist das Datenschutzrecht auch anzuwenden, wenn die Datenverarbeitung außerhalb der EU stattfinden?

Die DSGVO gilt immer, wenn personenbezogene
Daten von EU-Bürgern verarbeitet werden, durch Unternehmen mit Niederlassung in der EU, auch wenn die Datenverarbeitung außerhalb der EU stattfindet, durch Unternehmen mit Niederlassung außerhalb der EU bei Datenverarbeitung im Zusammenhang mit dem (auch kostenlosen) Anbieten von Waren oder Dienstleistungen und der Beobachtung des Verhaltens von Bürgern innerhalb der EU

Daher ist die DSGVO auch anzuwenden, wenn europäische Unternehmen die Datenverarbeitung in Drittstaaten außerhalb der EU auslagern.

Es ist rechtlich gesehen wirkungslos, zur Datenverarbeitung z.B. extra Server in den USA anzumieten oder dort Auftragsverarbeiter mit der Datenverarbeitung zu beauftragen.

11. Welche Gründe gibt es für den Datenschutz aus der Sicht von Unternehmen?

Gründe, den Datenschutz im Unternehmen zu berücksichtigen und umzusetzen, sind vielfältig.

  • Reputation, also Ansehen des Unternehmens

Bsp.: Bei Datenpannen können Unternehmen gesetzlich verpflichtet sein, diese den Betroffenen unmittelbar zu melden. Datenschutzverstöße, die über z.B. über Presse, Socialmedia-Kanäle bekannt gegeben werden, schaden der Außendarstellung des Unternehmens. Aktuelle sowie potentielle Kunden und Mitarbeiter können sich hierdurch vom Unternehmen abgeschreckt fühlen.

  • Risiken von Datenschutzverstößen

– Abmahnungen und/oder Klagen, z.B. von Abmahnverbänden, Mitbewerbern (str.), Betroffenen;
– Sanktionen der Aufsichtsbehörden (Bußgelder, behördliche Auflagen);
– strafrechtliche Verfolgung;
– Schadensersatzansprüche der Betroffenen gegenüber dem Unternehmen;
– ggf. persönliche Haftung der Geschäftsführer und Vorstände.

12. Wer überwacht den Datenschutz?

Die Kontrolle über die Einhaltung des Datenschutzes erfolgt durch den Staat.

Die Überwachung und Durchsetzung werden hierbei durch unabhängige Aufsichtsbehörden wahrgenommen: https://www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html.

In Deutschland sind dies der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit und die jeweiligen Aufsichtsbehörden der Bundesländer.

Zur Durchsetzung des Datenschutzes stehen den Aufsichtsbehörden verschiedene Mittel und Sanktionsmöglichkeiten zur Verfügung. Aufsichtsbehörden können z.B. Bußgelder verhängen oder auch Auflagen erteilen.

13. Wo können sich Betroffene wegen Verletzungen des Datenschutzes beschweren?

Jeder Betroffen hat unabhängig von einer gerichtlichen Verfolgung, das Recht auf Beschwerde bei einer Aufsichtsbehörde (innerhalb der EU) am Sitz seines Aufenthaltsorts, seines Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.

14. Wie hoch sind die Bußgelder bei Datenschutzverstößen?

  • Datenschutzaufsichtsbehörden können wegen Datenschutzverstößen auf einen Bußgeldrahmen  bis zu 10 Mio. € bzw. bis zu 2% des gesamten weltweiten Jahres Umsatzes max. sogar 20 Mio. € bzw. bis zu 4% des gesamten weltweiten Jahres Umsatzes, je nachdem, welcher Wert höher ist, zurückgreifen.
  • Beispiele von Bußgeldern:
  • Oktober 2018 – EU: 400.000 Euro (Portugal)-In einem Krankenhaus sollen zu viele Personen Zugriff auf Patientendaten gehabt haben sollen.
  • November 2018 – Deutschland: 20.000 Euro (Baden Württemberg) – Plattformbetreiber hatte die Passwörter seiner Nutzer im Klartext, mithin unverschlüsselt und unverfremdet (ungehasht), gespeichert hatte
  • Eine Übersicht über DSGVO-Bußgelder europaweit findet sich z.B. unter: http://www.enforcementtracker.com/

15. Welche weiteren Befugnisse haben die Datenschutz- Aufsichtsbehörden?

  • Verwarnungen:

können auch vorsorglich ausgesprochen werden, etwa wenn der Verantwortliche oder der Auftragsverarbeiter eine bestimmte Datenverarbeitung durchführen will, die voraussichtlich gegen die DSGVO verstoßen wird; verwarnt werden kann natürlich auch derjenige, der bereits Daten verarbeitet und dabei gegen die DSGVO verstößt.

  • Widerruf einer Zertifizierung:

Auch können Aufsichtsbehörden selber Zertifizierung widerrufen oder Zertifizierungsstellen anweisen, bereits erteilte Zertifizierung zu widerrufen oder neuer Zertifizierung nicht zu erteilen.

  • Untersuchungsbefugnisse:

Aufsichtsbehörden stehen auch umfassende Untersuchungsbefugnisse zu. Auftragsverarbeiter und Verantwortliche können dabei entsprechende Mitwirkungspflichten treffen, z.B. die Bereitstellung aller erforderlichen Informationen zur Durchführung von Datenschutzüberprüfung.

16. Haben Betroffene bei Datenschutzverstößen Schadensersatzansprüche gegen Unternehmen?

Betroffen können bei Verstößen gegen ihr Persönlichkeitsrecht Schadensersatzansprüche gegenüber den Verantwortlichen der Datenverarbeitung geltend machen.

17. Wer haftet für Verstöße gegen das Datenschutzrecht?

In der Regel das Unternehmen bzw. die Unternehmensführung. Maßgeblich ist, wer über die Zwecke und Mittel der Verarbeitung personenbezogener Daten allein oder gemeinsam mit anderen entscheidet (Art. 4 Nr. 7 DSGVO).

18. Was ist bei der Verarbeitung personenbezogener Daten zu beachten?

Bei der Verarbeitung personenbezogener Daten sind gesetzlich vorgegeben Grundsätze zu beachten. Diese sind im Einzelnen

Grundsätze der DSGVO

19. Was versteht man unter den Datenschutzgrundsätzen der DSGVO?

Jede Verarbeitung personenbezogener Daten muss die sog. Datenschutzgrundsätze, die in Art 5 Abs. 1 DSGVO geregelt sind, erfüllen.

  • Rechtmäßigkeit: Für jede Verarbeitung personenbezogener Daten muss eine Rechtsgrundlage gegeben sein, z.B. Einwilligung, Vertragserfüllung, gesetzliche Verpflichtung.
  • Verarbeitung nach Treu & Glauben („Fairness“): Die Datenverarbeitung muss geeignet sein, einen legitimen Zweck zur erfüllen. Zudem darf es keine Alternative zur Datenverarbeitung gegen, die weniger in das Persönlichkeitsrecht des Betroffenen eingreift.
  • Zweckbindung: Jeder Datenverarbeitung muss ein eindeutiger und legitimer Zweck vorab Zugrunde gelegt werden. Der Zweck kann nachträglich nicht einfach geändert werden. Dies ist nur unter engen Voraussetzungen (vgl. Art 6 Abs. 4 DSGVO) möglich.
  • Datenminimierung: Eine Datenverarbeitung muss sich auf das für den Zweck notwendige Maß beschränken.
  • Richtigkeit: Personenbezogene Daten müssen immer auf dem schlich richtigen und aktuellen Stand sein. Unrichtige Daten müssen daher gelöscht bzw. berichtigt werden.
  • Speicherbegrenzung: Personenbezogene Daten dürfen nur solange verarbeitet werden, wie es für die zugrundliegenden Zwecke erforderlich ist.  
  • Integrität & Vertraulichkeit: Personenbezogene Daten sind vor unberechtigtem Zugriff und Verlust angemessen zu schützen.

20. Welche Rechtsgrundlagen stehen für eine Verarbeitung personenbezogener Daten zur Verfügung?

Grundsätzlich finden sich die Rechtsgrundlagen in Art 6 Absatz 1 DSGVO. Die wichtigsten sind:

  • Einwilligung des Betroffenen; Können auch Jugendliche in eine Datenverarbeitung einwilligen? Ab einem Alter von 16 Jahren, ansonsten muss die Einwilligung der Erziehungsberechtigten vorliegen.
  • Erfüllung rechtlicher Verpflichtung, z.B. Finanzbuchhaltung
  • Erfüllung eines Vertrages und/oder die Erfüllung vorvertraglicher Pflichten; z.B. Behandlungsvertrag gemäß § 630a Bürgerliches Gesetzbuch (BGB)
  • Berechtigtes Interesse: Hier hat vorab eine Güterabwägung zwischen den Interessen des Unternehmens und dem allgemeinen Persönlichkeitsrecht des Betroffenen stattzufinden.

21. Was versteht man unter der sog. Rechenschaftspflicht?

Der Grundsatz der Rechenschaftspflicht bedeutet, dass Unternehmen jederzeit in der Lage sein müssen, den Nachweis zu erbringen, die Vorgaben der DSGVO und des Datenschutzes eingehalten zu haben. Gelingt dies nicht, ist bereits dieser fehlende Nachweis bußgeldbewehrt.

Es besteht faktisch eine Beweislast zu Lasten des Unternehmens.

22. Warum benötigen Unternehmen eine Datenschutzinformation bzw. Datenschutzerklärung?

Transparenz durch Information!

Besonders wichtig beim Datenschutz und der Erfüllung der damit einhergehenden Pflichten ist die zur Transparenz.

Vereinfacht gesprochen, sollen alle Personen, deren Daten verarbeitet werden, darüber vorab, d.h. vor der ersten Erhebung darüber informiert werden, was mit ihren Daten geschieht.

Ein Unternehmen, das z.B. die Daten seiner Kunden und Mitarbeiter erhebt ist gesetzlich verpflichtet, diese entsprechend zu informieren. Dies gilt auch für Datenerhebungen im medizinischen Bereich, wie bspw. bei Arztpraxen oder im Krankenhaus.

Zu informieren ist dabei nicht nur über die betroffenen Abläufe, z.B. die Datenverarbeitung bei einer Bestellung, sondern auch über die Rechte zum Datenschutz.

23. Wann ist zu informieren?

Im Zeitpunkt der ersten Verarbeitung sind die Informationen zur Datenverarbeitung dem Betroffenen gegenüber anzuzeigen!

Grundsätzlich sind die Informationen im Zeitpunkt der ersten Verarbeitung zu erteilen und zwar präzise, transparent sowie in leicht zugänglicher Form und klarer, einfacher Sprache.

Hinweis: Es muss ein Verfahren festgelegt sein, wie Mitarbeiter auf Anfragen betroffener reagieren, und deren Rechte erfüllen.

24. Die Daten werden nicht direkt beim Betroffenen erhoben

Werden die Daten nicht unmittelbar beim Betroffenen erhoben, erhält das Unternehmen die Daten von Dritten gilt folgende Frist:

Innerhalb einer angemessenen Frist nach Erlangung der Daten, maximal innerhalb eines Monats; sollen die Daten zur Kommunikation mit der betroffenen Person verwendet werden, spätestens zum Zeitpunkt der ersten Mitteilung an sie; ist die Offenlegung an einen anderen Empfänger beabsichtigt, spätestens zum Zeitpunkt der ersten Offenlegung zu erteilen.

Beispiel: Der Arzt leitet eine Blutprobe an ein medizinisches Labor weiter. Da das Labor den Befund weisungsfrei erstellt und unmittelbar mit dem Patienten abrechnet, erfolgt hier eine Datenverarbeitung zu eigenen Zwecken. Das Labor erhält die Patientendaten nicht unmittelbar vom Patienten, sondern von dessen Arzt.

Wann kann von einer Information abgesehen werden?

  • Betroffener verfügt bereits über die Information;
  • Unmöglichkeit oder unverhältnismäßig hoher Aufwand;
  • Ausdrückliche Regelung (Gesetz);
  • Berufsgeheimnis

25. Worüber ist im Rahmen einer Datenschutzinformation zu informieren?

Zu informieren ist über folgende Punkte:

  • Name und Kontaktdaten des Verantwortlichen, sowie ggf. seines Vertreters;
  • Kontaktdaten des DSB (sofern vorhanden);
  • Zwecke und Rechtsgrundlage der Datenverarbeitung personenbezogener Daten;
  • Verarbeitung erfolgt auf berechtigtem Interesse, bspw. Scoring;
  • Ggf. Empfänger oder Kategorien von Empfängern der personenbezogenen Daten;
  • ggf. die Absicht die Daten an ein Drittland oder internationale Organisation zu übermitteln (inkl. Informationen über Angemessenheitsbeschluss der Kommission / geeignete Garantien nach Art. 46 ff, z.B. EU-US- Privacy Shield)
  • Speicherdauer und Kriterien für die Festlegung der Dauer;
  • Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch, Übertragbarkeit);
  • Möglichkeit des Widerrufs einer Einwilligung, ohne dass die Rechtmäßigkeit der bisherigen Verarbeitung berührt wird;
  • Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  • ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben ist oder für einen Vertragsschluss notwendig ist, welche Folgen die Nichtbereitstellung hätte;
  • genaue Informationen über automatisierte Entscheidungsfindungen / Profilings sofern diese genutzt werden.

26. Warum ist zu informieren?

Aufgrund der Rechenschafts- und Transparenzpflicht ist es erforderlich nachzuweisen, den Betroffenen vorab über die Einzelheiten der Datenverarbeitung informiert zu haben.

27. Muss der Betroffener einer Datenschutzerklärung zustimmen oder diese unterschreiben?

Nein!

Mit der Datenschutzerklärung erfüllt das Unternehmen nur seine gesetzliche Pflicht die Betroffenen über die Verarbeitung seiner Daten zu informieren. Hier muss die Möglichkeit der Kenntnisnahme geschaffen werden. Es besteht jedoch keine Pflicht der betroffenen Person, hierzu seine Zustimmung zu erteilen.

Das „unterschreiben“ einer Datenschutzerklärung beweist hierbei allein, dass das Unternehmen seinen Transparenzpflichten nachgekommen ist und stellt nicht die Rechtsgrundlage dar.

28. Welche Rechte haben Betroffene?

  • Transparenz zur Datenverarbeitung;
  • Informationen zur Datenverarbeitung;
  • Auskunft: Der Betroffene kann jederzeit verlangen. Auskunft über Umfang und Nutzung seiner Daten zu bekommen. Hierbei kann der Betroffene zugleich die Richtigkeit seiner Daten überprüfen und die Rechtmäßigkeit der Datenverarbeitung und etwaiger Datenübermittlungen nachvollziehen;
  • Berichtigung;
  • Löschung: Personenbezogene Daten müssen immer dann gelöscht werden, wenn der Zweck der Datenverarbeitung erfüllt ist und keine gesetzlichen Aufbewahrungsfristen bzw. Pflichten vorliegen, die eine weitergehende Speicherung vorschreiben;
  • Sperrung;
  • Widerspruch;
  • Datenübertragbarkeit

29. Was ist bei einer Betroffenenanfrage zu beachten?

Unternehmen sollten auf Anfragen im Zusammenhang mit den Betroffenenrechten vorbereitet sein und entsprechend vorab festlegen, wie in solchen Fällen reagiert werden muss.

Reaktion: unverzüglich in jedem Fall innerhalb eines Monats

  • evtl. Fristverlängerung um zwei Monate
    • Grund: Komplexität & Anzahl der Anträge + Unterrichtung des Betroffenen innerhalb eines Monats

Mögliches Vorgehen:

  • Fristen notieren!

Stellt ein Betroffener bspw. eine Auskunftsanfrage, muss deren Bearbeitung einschließlich einer Rückmeldung an den Betroffenen unverzüglich, in jedem Fall innerhalb eines Monats erfolgen. Auch wenn der Verantwortliche nicht tätig werden kann, weil diese bspw. keine Daten gespeichert hat, über der er Auskunft erteilen kann, ist dies dem Anfragenden mitzuteilen.

  • Fristverlängerung?

Die Monatsfrist kann eventuelle um max. 2 Monate verlängert werden, wenn die etwa aufgrund der Komplexität oder der Anzahl der aktuell zu bearbeitenden Anträgen erforderlich ist. Auch über diese Fristverlängerung ist der Betroffene sodann innerhalb eines Monats zu informieren. Es sollten die entsprechenden Fristen notiert werden, sobald eine Betroffenenanfrage beim Unternehmen eingeht.

  • Identifikation notwendig!

Es muss auch immer gewährleistet sein, dass derjenige, der die Auskunft erhält, auch derjenige ist, der allein berechtigt ist. Telefonauskünfte zu personenbezogenen Daten sind daher immer kritisch zu prüfen! Dritten gegenüber dürfen Auskünfte nur erteilt werden, wenn Sie dazu aus anderen rechtlichen Gründen verpflichtet sind oder die betroffene Person ihre ausdrückliche Einwilligung dazu erteilt hat.

  • Dokumentation der Betroffenenanfrage!

Wegen des Grundsatzes zur Rechenschaftspflicht ist die Bearbeitung der Betroffenenanfrage zu dokumentieren, z.B. per E-Mai.

30. Was versteht man unter einer Datenpanne?

Von einer Datenpanne spricht man, eine Verletzung der Datensicherheit vorliegt, die zur Vernichtung, zum Verlust oder zur Veränderung (ob unbeabsichtigt oder unrechtmäßig) oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die vom Unternehmen oder vom Unternehmen beauftragten Dienstleistern übermittelt, gespeichert oder verarbeitet wurden.

31. Welche Pflichten (Meldepflichten) bestehen bei einer Datenpanne?

  • Meldung an die Aufsichtsbehörde: Eine sog. Datenpanne ist innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde zu melden.
  • Meldung an Betroffene: Zudem hat gegebenenfalls auch eine Meldung an die Betroffenen zu erfolgen.

Bildnachweis für diesen Beitrag: © John Smith – stock. adobe. com