FAQ – häufig gestellte Fragen zum Datenschutz

Unter Datenschutz im Allgemeinen versteht man vor allem den „Schutz personenbezogener Daten“. Mit Hilfe des Datenschutzes werden wir vor Datenmissbrauch geschützt. Somit werden auch die Rechte jedes Individiums in Bezug auf seine Daten gewahrt. Es wird hierbei vom Grundsatz ausgegangen, dass jede Person selbst darüber bestimmen sollte, wem sie welche Daten zur Verfügung stellt.

Unter dem Begriff „Daten“ im Allgemeinen sind Angaben wie Zahlen, Werte, formulierte Befunde usw. zu verstehen, die z. B. durch Messung, Auswertung und Beobachtung gesammelt wurden. Diese Informationen werden in der Regel aus Tatsachen, Gegebenheiten und Ereignissen gewonnen.

Alle Angaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person sind personenbezogene Daten. Im Zusammenhang mit der Datenschutz-Grundverordnung „DSGVO“ wird immer von „personenbezogenen Daten“ gesprochen. Dies sind Daten, die einer natürlichen Person (d.h. einem Menschen) zuzuordnen sind und ihn als eine bestimmte Person eindeutig identifizieren oder identifizierbar machen. 

Hierzu gehören nicht nur Name und Adresse einer Person, sondern auch E-Mail-Adresse, Online-Kennung, Informationen zu benutzten Geräten, IP Adresse, Kundennummer usw.

"Identifizierbar“ ist eine Person auch dann, wenn Daten pseudonymisiert wurden, aber mit weiteren Informationen zur Profilbildung genutzt werden könnten.

Auch die Daten von persönlichen Geschäftskontakten in einem anderen Unternehmen sind personenbezogene Daten.

Es besteht kein Unterschied zwischen Geschäfts- und Kundendaten (B2B und B2C)

2016 wurde im EU-Parlament eine Reform des Datenschutzrechts entschieden. Diese Reform der Datenschutzgrundverordnung (DSGVO) ist ab 25. Mai 2018 in Kraft getreten. Sie soll besonders Privatverbraucher stärken und Unternehmen im Falle eines Datenschutzverstoßes erheblich bestrafen! Für Unternehmen, die immer gesetzlich verpflichtet sind den Datenschutz im Unternehmen zu etablieren, gilt es, viele datenschutzrechtliche Maßnahmen umzusetzen.

Ziele der Datenschutzgrundverordnung (DSGVO):

Die DSGVO unterscheidet zwischen „einfachen“ und „besonderen“ personenbezogenen Daten. Zu den besonderen Kategorien personenbezogener Daten gehören beispielsweise Angaben wie die rassische oder ethnische Herkunft einer Person, deren politische Meinungen, religiöse sowie philosophische Überzeugungen, deren Gewerkschaftszugehörigkeit oder einer anderen Mitgliedschaft, Gesundheitszustand oder Sexualleben (Art. 9 DSGVO). Dies sind nur einige Beispiele hierfür.

Eine Einwilligung eines Betroffenen zur Verarbeitung seiner Daten (Artikel 6a der DSGVO) ist erforderlich, wenn keine andere Rechtsgrundlage zur Verarbeitung seiner Daten vorliegt (siehe Artikel 6b bis f DSGVO).

Beispiele für notwendige Einwilligung:

• Cookies auf Webseiten, die nicht nur technisch notwendig bedingt sind
• Werbemaßnahmen (vor allem nicht zielgerichtet bzw. unbestimmt)
• Veröffentlichung von Bildern bzw. Fotos von Personen auf Webseiten oder im Intranet etc.

Die Einwilligung muss freiwillig sein. Die betroffene Person muss eine echte und freie Wahl zur Einwilligung haben. Sie muss die Einwilligung jederzeit ohne Nachteile verweigern oder zurückziehen können. Die Erklärung zur Einwilligung muss enthalten:

• Zweck und Umfang der Verarbeitung personenbezogener Daten
• Name und Kontaktdaten des Verantwortlichen bzw. jeweiliger Ansprechpartner
• Speicherdauer
• Hinweis auf Widerrufsmöglichkeit der Einwilligung und Löschung der Daten

Automatisierte Datenverarbeitung bezieht sich auf den Einsatz von Maschinen und Computern zur Verarbeitung und Analyse von Daten. Sie umfasst die automatische Erfassung, Verarbeitung, Speicherung und Übertragung von Daten mit Hilfe von Computern und anderen elektronischen Geräten.

Sobald technische Geräte wie Computer zum Einsatz kommen, kann von einer automatisierten Datenverarbeitung ausgegangen werden. Von Datenverarbeitung spricht man immer dann, wenn Daten gespeichert, bearbeitet oder ausgewertet werden.

Die Begriffe Datensicherheit und Datenschutz unterscheiden sich schwerpunktmäßig in ihren damit verfolgten Zielen, obwohl sie in der Praxis in der Regel oft nicht richtig unterschieden werden. Bei der Datensicherheit geht es um den Schutz von Daten allgemein, beim Datenschutz sollen personenbezogene Daten geschützt werden.

Eine Datenpanne bzw. ein Datenschutzverstoß liegt vor, wenn unberechtigte Personen Zugriff auf (personenbezogene) Daten haben. Auch die ungewollte Löschung von Daten kann im weiteren Sinne eine Datenpanne sein.

Beispiele für Datenpannen: geglückter Hackerangriff, Schadsoftware die auf dem Rechner installiert wurde, E-Mail bzw. Post an falsche Empfänger, Veröffentlichung von personenbezogenen Daten ohne gültige Rechtsgrundlage. Verlust von Firmenhardware (Laptop, Smartphone etc.) mit lokal gespeicherten Daten.

Die Meldung einer Datenpanne (Verletzung des Schutzes personenbezogener Daten) muss bei der jeweiligen zuständigen Aufsichtsbehörde gemeldet werden. Die Datenschutzverletzung muss, sobald die Datenpanne bekannt wird, unverzüglich, binnen 72 Stunden, gemeldet werden. Die Aufsichtsbehörde in Bayern mit Sitz in Ansbach erreichen Sie hier.

Ferner sind die Betroffenen (in geeigneter Weise) über die Datenschutzverletzung zu informieren.

Die Umsetzung von datzenschutzrechtlichen und IT-sicherheitsrechtlichen Maßnahmen hängt ganz von den jeweiligen Gegebenheiten und Prozessen eines Unternehmens ab und wird von uns als externe Datenschutzbeauftragte erörtert und geprüft.

Viele Maßnahmen gilt es grundsätzlich durchzuführen bzw. zu etablieren. Hier einige Beispiele:

- Technische und organisatorische Maßnahmen (TOM)

- Informationspflichten für Betroffene

- AV-Verträge mit Auftragsverarbeitern schließen

- Verzeichnisse für Verarbeitungstätigkeiten sind zu erstellen

- Sperr- und Löschkonzepte für Datenverarbeitung

- Schulung und Sensibilisierung der Mitarbeiter

- Risikobewertung und Datenschutzfolgeabschätzung

Die Umsetzung von Maßnahmen im Sinne der Datenschutzgrundverordnung (DSGVO) gilt für:

• Unternehmen
• Handwerksbetriebe
• Freie Berufe wie Steuerberater und Rechtsanwälte
• Vereine
• Verbände
• Parteien
• Stiftungen
• Schulen
• Krankenhäuser, Ärzte, Physio- und Ergotherapeuten
• Metallbau
• Körperschaften des öffentlichen Rechts und Einrichtungen des Bundes, der Länder und Kommunen

Damit EU-Bürger ihr Recht auf Schutz ihrer personenbezogenen Daten wahrnehmen können, bedarf es der Transparenz, sowohl bei der Datenerhebung als auch bei der Nutzung der erhobenen Daten. Deshalb sieht die Datenschutz-Grundverordnung (DSGVO) Informationspflichten vor.

Das Gesetz unterscheidet dabei zwischen zwei Fällen: Zum einen, wenn die personenbezogenen Daten bei dem Betroffenen direkt erfasst werden (Art. 13 DSGVO) und zum anderen, wenn diese nicht bei der betroffenen Person erhoben werden (Art. 14 DSGVO).

In den Informationspflichten muss unter anderem klargestellt werden, wie und zu welchem Zweck Daten erhoben und gespeichert werden, in welchem Rahmen diese verarbeitet und weitergegeben werden, ob z.B. eine Weitergabe an Dritte erfolgt und wie lange diese Daten gespeichert werden. Ferner muss auf Rechte der Betroffenen, Widerspruchs- und Widerrufsmöglichkeiten zur Speicherung und auf das Beschwerderecht bei der jeweiligen Datenschutzaufsichtsbehörde hingewiesen werden.

Informationspflichten müssen beispielsweise für folg. Bereiche erstellt werden:

• Kunden und Interessenten
• Lieferanten
• Bewerber
• Mitarbeiter
• Microsoft Teams
• Videoüberwachtung
• etc.

Mit unserer Datenschutzmanagementsoftware ist es möglich, die Informationspflichten automatisiert bereitzustellen.

Wer personenbezogene Daten verarbeitet, muss diese mittels technischer organisatorischer Maßnahmen schützen.

Zu den TOMs gehören:

• Zutrittskontrolle
• Zugangskontrolle Datenverarbeitungsanlage auf Netz- und Serverebene
• Zugriffskontrolle Datenverarbeitungssystem
• Weitergabe Kontrolle
• Eingabekontrolle
• Auftragskontrolle
• Verfügbarkeit
• Trennung
• Integrität
• Vertraulichkeit

Die TOMs sind entsprechend zu dokumentieren und laufend (mindestens jährlich) zu überprüfen. Bei Bedarf ist eine Weitergabe dieser Informationen erforderlich um die gegebenen Sicherheitsvorkehrungen darzustellen (z.B. bei Auftragsverarbeitung).

Auftragsverarbeiter:
Ein Auftragsverarbeiter gemäß Art. 28 DSGVO ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet.

Auftragsverarbeitungsvertrag:
Ein Auftragsverarbeitungsvertrag ist der Vertrag über eine weisungsgebundene Tätigkeit mit personenbezogenen Daten, die ein Dienstleister für ein Unternehmen erfüllt. Einen AV-Vertrag muss demnach jedes Unternehmen mit seinem Dienstleister abschließen, der personenbezogene Daten im Auftrag verarbeitet. Bereits bestehende Verträge müssen an die neuen Anforderungen der DSGVO angepasst werden.

Beispiel:
"Wartung von IT-Systemen" Hier liegt eine Auftragsverarbeitung vor, wenn bei der Wartung eine Kenntnisnahme personenbezogener Daten durch den Dienstleister nicht ausgeschlossen werden kann.

Der Artikel 30 DSGVO verpflichtet jeden Verantwortlichen sowie Auftragsdatenverarbeiter, somit jeden der über die Verarbeitung von personenbezogenen Daten entscheidet, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen.

Hier ist u.a. festzuhalten, welche Daten in welchen Systemen gespeichert werden und wie die weitere Verarbeitung stattfindet. Zu den Verantwortlichen gehören unter anderem auch kleinere und mittlere Unternehmen, Vereine, Freie Berufe sowie öffentliche Stellen.

Eine Datenschutzfolgeabschätzung (DSFA) beschreibt systematisch bestimmte Verarbeitungsvorgänge und Zwecke. Hierbei wird die Notwendigkeit und Verhältnismäßigkeit der Verarbeitung im Verhältnis zum Zweck der Verarbeitung gestellt. Im Anschluss erfolgt eine Risikobewertung. Bei höheren Risiken werden Abhilfemaßnahmen zur Bewältigung der Risiken festgelegt.

Erforderlich ist eine DSFA wenn die Verarbeitung von Daten aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeiutng voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat (Art. 35 Abs. 1 Satz 1 DSGVO). Beispiele hierfür sind:

• umfangreiche Verarbeitung "besonderer personenbezogener Daten" bzw. Daten über strafrechtliche Verurteilungen und Straftaten
• automatisierte Verarbeitungsprozesse
• Bei Einsatz von "neuen Technologien"
• u.v.m. (siehe auch Kurzpapier Datenschutzfolgeabschätzung der Datenschutzkommission)

Grundsätze der Verarbeitung personenbezogener Daten (Art. 5 DSGVO)

• Rechtmäßigkeit – Verarbeitung nach Treu und Glauben
• Rechenschaftspflicht
• Transparenz
• Einwilligung
• Erforderlichkeiten
• Zweckbindung
• Datenminimierung
• Speicherbegrenzung

Der Gerichtshof der Europäischen Union(EuGH) stellt fest, dass in diesem Privacy-Shield Beschluss, ebenso wie in der Safe-Harbour-Entscheidung 2000/520, den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang eingeräumt wird. Dies ermöglicht Eingriffe in die Grundrechte der Personen, deren Daten in die Vereinigten Staaten übermittelt werden. Er kommt zu dem Ergebnis, dass die von der Kommission im Privacy-Shield-Beschluss 2016/1250 bewerteten: „Einschränkungen des Schutzes personenbezogener Daten, die sich daraus ergeben, dass die amerikanischen Behörden nach dem Recht der Vereinigten Staaten auf solche Daten, die aus der Union in dieses Drittland übermittelt werden, zugreifen und sie verwenden dürfen, nicht in der Gestalt geregelt sind, dass damit Anforderungen erfüllt würden, die den im Unionsrecht nach dem Grundsatz der Verhältnismäßigkeit bestehenden Anforderungen der Sache nach gleichwertig wären, da die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind“ Auszug aus der Pressemitteilung des EuGH Nr. 91/20 vom 16.7.2020 – Link zum Urteil

Zu beachten ist:

Der Gerichtshof der Europäischen Union (EuGH) urteilte auch, dass die EU-Standardvertragsklauseln weiterhin als gültig anzusehen sind. Der Gerichtshof der Europäischen Union (EuGH) betonte, dass die betroffenen europäischen Unternehmen, die personenbezogene Daten in einen Staat außerhalb Europas oder des Europäischen Wirtschaftsraum (Drittland) übermitteln und auch das Unternehmen im Drittland, im Einzelfall prüfen müssen, ob das erforderliche Schutzniveau bei dem empfangenden Unternehmen im Drittland eingehalten wird, oder die Rechtsordnung des Drittlandes dem entgegensteht. Sollte das nicht der Fall sein, muss das EU-Unternehmen die Datenübermittlung aussetzen. Die Aufsichtsbehörden für Datenschutz wären zudem verpflichtet, die Datenübermittlung zu verbieten.

Folge der Ungültigkeit des Privacy-Shields

Nachdem der Privacy Shield-Beschluss 2016/1250 – für ungültig erklärt wurde, ist eine Datenübermittlung in die USA ab sofort unzulässig, wenn man sich dabei allein auf das Privacy-Shield gestützt hat. Eine Übergangsfrist gibt es nicht. Es ist anzunehmen, dass sich nun die nationalen Aufsichtsbehörden für den Datenschutz zu dem Urteil äußern werden und ggf. Prüfungen bei den Unternehmen ankündigen werden. Dies wird vermutlich aber nicht sofort erfolgen.

Nachdem der Privacy Shield-Beschluss 2016/1250 – für ungültig erklärt wurde, ist eine Datenübermittlung in die USA ab sofort unzulässig, wenn man sich dabei allein auf das Privacy-Shield gestützt hat. Eine Übergangsfrist gibt es nicht. Es ist anzunehmen, dass sich nun die nationalen Aufsichtsbehörden für den Datenschutz zu dem Urteil äußern werden und ggf. Prüfungen bei den Unternehmen ankündigen werden. Dies wird vermutlich aber nicht sofort erfolgen.

Was beachtet werden sollte:

• Prüfen, ob im Unternehmen personenbezogene Daten in die USA übermittelt werden; hierzu
• Verzeichnis für Verarbeitungstätigkeiten prüfen, ob beim „Empfänger der Daten“ ein Dienstleister oder Lieferant zu finden ist, der den Sitz in einem nicht EU-Land hat. Ferner, ob eine „Übermittlung ins Drittland“ stattfindet.
• Prüfen und identifizieren, ob Software, Webservices, Apps im Einsatz sind, welche die Daten auf Servern in den USA oder Drittland speichern und welche Vertragsklauseln bestehen (Beispiele hierfür wären Microsoft, Google, Facebook)
• Wird die Übermittlung von Daten allein auf das Privacy-Shield-Abkommen gestützt, muss der Datentransfer gestoppt werden, da die Übermittlung nach dem Urteil des EuGH unzulässig ist. Hier müssen passende Standardschutz- / bzw. Standardvertragsklauseln abgeschlossen werden. Die Vertragsvorlagen verpflichten den Vertragspartner zur Einhaltung des Europäischen Datenschutzniveaus (Standardschutzklauseln sind häufig mit Auftragsverarbeitungsverträgen verbunden). Allerdings erlauben sie Datentransfers nur, wenn das Datenschutzniveau tatsächlich gewahrt wird.
• Mittelfristig sollte geprüft werden, ob bestimmte Datenverarbeitungsvorgänge zu Dienstleistern innerhalb der EU umgezogen werden könnten. In jedem Fall sollte aber geprüft werden, ob manche Dienste so konfiguriert werden können, dass die Datenverarbeitung durch das US-Unternehmen zumindest ausschließlich auf den Servern innerhalb der EU erfolgt

Mitarbeiterschulungen sind ein wichtiger Bestandteil der Aufgaben eines Datenschutzbeauftragten, denn nur durch geschulte und sensibilisierte Mitarbeiter können Unternehmensdaten und personenbezogene Daten richtig geschützt werden.

Hierzu gehören praktische Schulung der Mitarbeiter in Bezug auf Datenschutz und Informationssicherheit mit Übungen und Beispielen, Aufklärung über DO´s und DONT’s im Datenschutz und in der Informationssicherheit, sowie die Erklärung der Verpflichtung auf das Datengeheimnis für die Mitarbeiter.

Die Schulung wird auf die jeweilige Belange Ihres Unternehmens angepasst.

Am Ende der Mitarbeiterschulung über Datenschutz und Informationssicherheit, steht auf Wunsch für alle Teilnehmer ein Test über die geschulten Inhalte an. Erfolgreiche Teilnehmer erhalten ein Zertifikat.

Sie können Mitarbeiterschulungen entweder als Präsenzveranstaltung oder auch komfortabel als Online-Schulungsmöglichkeit buchen. 

Unter unserer Rubrik „Akademie“ stellen wir Ihnen gerne die Möglichkeiten näher vor.

Wir unterstützen und beraten Sie bei den Themen Datenschutz, IT-Sicherheit und Informationssicherheit.
Auch Mustervorlagen, beispielsweise für VVTs, TOMs, Informationspflichten, AV-Verträge, Checklisten, Auditfragebögen oder Einwilligungserklärungen können wir Ihnen nach Absprache zur Verfügung stellen.

Unsere Experten beantworten Ihnen selbstverständlich auch einige grundlegenden Fragen. Nutzen Sie hierfür gerne auch unsere Datenschutzsprechstunde. Außerdem können Sie jederzeit ein kostenfreies Erstgespräch vereinbaren. Wir freuen uns von Ihnen zu hören!

• Kontaktanfrage

• Datenschutzsprechstunde