FAQ – Häufig an uns gestellte Fragen zum Datenschutz aus Unternehmenssicht
Als Datenschutzbeauftragte und Informationssicherheitsbeauftragte beraten wir unsere Kunden zu allen Aspekten des Datenschutzes.
Dabei erhalten wir regelmäßig Fragestellungen von unseren Kunden, die oft ähnlich gelagert sind.
Deshalb haben wir für unsere Kunden sowie Interessenten die nachfolgende FAQ erstellt, die Ihnen einen Überblick über die wichtigsten Fragen und Antworten zum Datenschutz aus Unternehmenssicht gibt und Sie bei Ihrer täglichen Arbeit unterstützt.
Wir aktualisieren und erweitern diese FAQ nach Bedarf. Wenn Sie eine Frage haben, die hier nicht beantwortet wird, können Sie uns gerne über unser allgemeines Kontaktformular erreichen.
Was sind meine Pflichten als verantwortliche Stelle im Datenschutz?
Als verantwortliche Stelle im Datenschutz müssen Sie verschiedene Pflichten erfüllen. Dazu gehören unter anderem:
- Die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten nach Art. 5 DSGVO und § 4 BDSG
- Die Wahrung der Rechte der betroffenen Personen nach Art. 12 bis 23 DSGVO und §§ 34 bis 37 BDSG
- Die Erfüllung der Informationspflichten nach Art. 13 und 14 DSGVO und § 32 BDSG
- Die Durchführung einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO und § 67 BDSG bei bestimmten Verarbeitungen mit hohem Risiko
- Die Benennung eines Datenschutzbeauftragten nach Art. 37 DSGVO und § 38 BDSG, wenn die gesetzlichen Voraussetzungen vorliegen
- Die Meldung von Datenschutzverletzungen an die zuständige Aufsichtsbehörde und gegebenenfalls an die betroffenen Personen nach Art. 33 und 34 DSGVO und § 58 BDSG
- Die Einhaltung der Vorgaben für die Übermittlung von personenbezogenen Daten an Drittländer oder internationale Organisationen nach Art. 44 bis 50 DSGVO
- Die Dokumentation der Verarbeitungstätigkeiten nach Art. 30 DSGVO und § 64 BDSG
Was versteht man unter personenbezogenen Daten gemäß Art. 4 DSGVO?
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dieser Begriff ist in Art. 4 Nr. 1 DSGVO legaldefiniert und möglichst weit auszulegen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann. Zu personenbezogenen Daten gehören unter anderem Kontaktdaten, Bankdaten, Daten zur Internetnutzung (z.B. IP-Adressen) oder Informationen zum Aussehen. Personenbezogene Daten genießen durch die DSGVO besonderen Schutz. Juristische Personen, Personenmehrheiten und ‑gruppen sind nicht Teil des Schutzbereiches der DSGVO.
Was versteht man unter den Grundsätzen für die Verarbeitung personenbezogener Daten nach Art. 5 DSGVO und § 4 BDSG?
Die Grundsätze für die Verarbeitung personenbezogener Daten nach Art. 5 DSGVO und § 4 BDSG sind die grundlegenden Regeln, die bei jeder Verarbeitung von personenbezogenen Daten beachtet werden müssen. Sie dienen dem Schutz der Rechte und Freiheiten der betroffenen Personen und der Gewährleistung einer rechtmäßigen, transparenten und verantwortungsvollen Datenverarbeitung. Die Grundsätze sind:
- Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz: Die personenbezogenen Daten müssen auf eine rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Der Verantwortliche muss die Einwilligung der betroffenen Person oder eine andere Rechtsgrundlage für die Verarbeitung haben und die betroffene Person über die Verarbeitung informieren.
- Zweckbindung: Die personenbezogenen Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden. Eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke ist unter bestimmten Voraussetzungen zulässig.
- Datenminimierung: Die personenbezogenen Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Der Verantwortliche muss nur die Daten verarbeiten, die für den Zweck erforderlich sind und keine überflüssigen Daten sammeln oder speichern.
- Richtigkeit: Die personenbezogenen Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Der Verantwortliche muss alle angemessenen Maßnahmen treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.
- Speicherbegrenzung: Die personenbezogenen Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Der Verantwortliche muss die personenbezogenen Daten löschen oder anonymisieren, wenn sie für den Zweck nicht mehr benötigt werden oder wenn die betroffene Person ihre Einwilligung widerruft oder Widerspruch einlegt. Eine längere Speicherung ist nur unter bestimmten Voraussetzungen erlaubt, z.B. für Archiv‑, Forschungs- oder Statistikzwecke.
- Integrität und Vertraulichkeit: Die personenbezogenen Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen. Der Verantwortliche muss sicherstellen, dass nur berechtigte Personen Zugang zu den personenbezogenen Daten haben und dass diese vertraulich behandelt werden.
- Rechenschaftspflicht: Der Verantwortliche ist für die Einhaltung der Grundsätze verantwortlich und muss dessen Einhaltung nachweisen können. Der Verantwortliche muss eine Dokumentation der Datenverarbeitung führen, eine Datenschutz-Folgenabschätzung durchführen, wenn die Verarbeitung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, einen Datenschutzbeauftragten benennen, wenn dies erforderlich ist, und mit den Aufsichtsbehörden zusammenarbeiten.
Was sind die Betroffenenrechte nach Art. 12 bis 23 DSGVO und §§ 34 bis 37 BDSG?
Die Betroffenenrechte nach Art. 12 bis 23 DSGVO und §§ 34 bis 37 BDSG sind die Rechte, die jede Person hat, deren personenbezogene Daten von einer verantwortlichen Stelle verarbeitet werden. Die verantwortliche Stelle ist diejenige, die über die Zwecke und Mittel der Verarbeitung entscheidet.
Die Betroffenenrechte umfassen unter anderem das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch. Diese Rechte sollen die betroffene Person in die Lage versetzen, die Kontrolle über ihre eigenen Daten zu haben und deren rechtmäßige Verarbeitung zu überprüfen.
Die verantwortliche Stelle muss geeignete Maßnahmen treffen, um die betroffene Person transparent und verständlich über ihre Rechte zu informieren und ihre Anträge unverzüglich zu bearbeiten. Die Frist für die Bearbeitung der Anträge beträgt in der Regel einen Monat, kann aber in bestimmten Fällen um weitere zwei Monate verlängert werden.
Die Anfrage der betroffenen Person ist unverzüglich und kostenlos zu bearbeiten, sofern diese nicht offenkundig unbegründet oder exzessiv ist (Art. 12 Abs. 5 DSGVO).
Die Betroffenenrechte können jedoch in einigen Situationen eingeschränkt oder ausgeschlossen werden, z.B. wenn die Übermittlung der Daten an ein Drittland oder eine internationale Organisation aus wichtigen Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.
Was versteht man unter der Erfüllung der Informationspflichten nach Art. 13 und 14 DSGVO und § 32 BDSG?
Die Informationspflichten nach Art. 13 und 14 DSGVO und § 32 BDSG sind die Pflichten des Verantwortlichen, der betroffenen Person bestimmte Informationen über die Verarbeitung ihrer personenbezogenen Daten mitzuteilen. Diese Informationen sollen der betroffenen Person ermöglichen, ihre Rechte auf Datenschutz wahrzunehmen und eine faire und transparente Verarbeitung zu gewährleisten.
Die Informationspflichten unterscheiden sich je nachdem, ob die personenbezogenen Daten bei der betroffenen Person selbst erhoben werden (Art. 13 DSGVO) oder nicht (Art. 14 DSGVO). In beiden Fällen muss der Verantwortliche der betroffenen Person unter anderem folgende Informationen mitteilen:
- den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters und seines Datenschutzbeauftragten
- die Zwecke und die Rechtsgrundlage der Verarbeitung sowie gegebenenfalls die berechtigten Interessen des Verantwortlichen oder eines Dritten
- die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und gegebenenfalls die Absicht, die Daten an ein Drittland oder eine internationale Organisation zu übermitteln
- die Dauer der Speicherung oder die Kriterien für die Festlegung dieser Dauer
- das Bestehen von Rechten der betroffenen Person, wie zum Beispiel das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und Datenübertragbarkeit
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
- das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und gegebenenfalls aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer solchen Verarbeitung
Die Informationspflichten müssen zum Zeitpunkt der Erhebung der Daten (Art. 13 DSGVO) oder spätestens innerhalb eines Monats nach Erhalt der Daten (Art. 14 DSGVO) erfüllt werden. Es gibt jedoch einige Ausnahmen von den Informationspflichten, zum Beispiel wenn die betroffene Person bereits über die Informationen verfügt, wenn die Erteilung der Informationen unmöglich oder unverhältnismäßig ist oder wenn die Verarbeitung auf einer gesetzlichen Verpflichtung beruht.
Was versteht man unter der Dokumentation der Verarbeitungstätigkeiten nach Art. 30 DSGVO und § 64 BDSG?
Die Dokumentation der Verarbeitungstätigkeiten nach Art. 30 DSGVO und § 64 BDSG ist eine Pflicht für Verantwortliche und Auftragsverarbeiter, die personenbezogene Daten verarbeiten. Sie dient dazu, einen Überblick über die Zwecke, die Kategorien, die Empfänger, die Übermittlungen, die Fristen und die Maßnahmen der Datenverarbeitung zu geben. Das Verzeichnis muss schriftlich oder elektronisch geführt werden und der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden. Das Verzeichnis soll die Einhaltung der Datenschutzgrundsätze und die Rechenschaftspflicht nachweisen.
Wann muss ich eine Datenverarbeitung dokumentieren?
Sie müssen eine Datenverarbeitung dokumentieren, wenn sie personenbezogene Daten verarbeiten, die einem bestimmten Zweck dienen. Dies gilt insbesondere, wenn die Datenverarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt oder wenn sie besondere Kategorien von Daten umfasst, wie z.B. Gesundheitsdaten oder biometrische Daten. Die Dokumentation soll den Nachweis erbringen, dass Sie die datenschutzrechtlichen Anforderungen einhalten und die Verarbeitung rechtmäßig, fair und transparent ist.
Was versteht man unter personenbezogenen Daten besonderer Kategorien gemäß Art. 9 DSGVO?
Unter personenbezogenen Daten besonderer Kategorien versteht man gemäß Art. 9 DSGVO Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.
Beispiele für personenbezogene Daten besonderer Kategorien sind:
- die Angabe der Staatsangehörigkeit oder der ethnischen Zugehörigkeit auf einem Ausweis oder einem Lebenslauf
- die Mitgliedschaft in einer politischen Partei oder einer Gewerkschaft
- die Religionszugehörigkeit oder die Konfession
- die Blutgruppe oder der genetische Fingerabdruck
- die Krankengeschichte oder die Medikation
- die sexuelle Orientierung oder die Präferenzen
Diese Daten unterliegen einem besonderen Schutz und dürfen nur unter bestimmten Voraussetzungen verarbeitet werden, die in Art. 9 Abs. 2 DSGVO aufgeführt sind. Zu diesen Voraussetzungen gehören unter anderem:
- Die ausdrückliche Einwilligung der betroffenen Person für einen oder mehrere festgelegte Zwecke.
- Die Erfüllung von arbeits- oder sozialrechtlichen Pflichten des Verantwortlichen oder der betroffenen Person.
- Der Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person, wenn die betroffene Person nicht einwilligungsfähig ist.
- Die Verarbeitung durch eine politische, weltanschauliche, religiöse oder gewerkschaftliche Organisation ohne Gewinnerzielungsabsicht im Rahmen ihrer rechtmäßigen Tätigkeiten und unter Wahrung der Vertraulichkeit.
- Die Verarbeitung von personenbezogenen Daten, die die betroffene Person offensichtlich öffentlich gemacht hat.
- Die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder die justizielle Tätigkeit.
- Die Verarbeitung aus Gründen eines erheblichen öffentlichen Interesses auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats.
Wann muss ich eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO und § 67 BDSG durchführen?
Eine Datenschutz-Folgenabschätzung ist eine vorab durchgeführte Analyse der Auswirkungen einer geplanten Datenverarbeitung auf die Rechte und Freiheiten der betroffenen Personen. Sie ist nach Art. 35 DSGVO und § 67 BDSG erforderlich, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, voraussichtlich eine erhebliche Gefahr für die Rechtsgüter der betroffenen Personen zur Folge hat.
Dies kann zum Beispiel der Fall sein, wenn die Verarbeitung eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen beinhaltet, die als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber den betroffenen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen.
Die Datenschutz-Folgenabschätzung muss zumindest eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck, eine Bewertung der Gefahren für die Rechtsgüter der betroffenen Personen und die Maßnahmen, mit denen bestehenden Gefahren abgeholfen werden soll, einschließlich der Garantien, der Sicherheitsvorkehrungen und der Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und die Einhaltung der gesetzlichen Vorgaben nachgewiesen werden sollen, enthalten.
Der Verantwortliche muss den Datenschutzbeauftragten an der Durchführung der Folgenabschätzung beteiligen und gegebenenfalls den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung einholen.
Wann muss ich einen Datenschutzbeauftragten nach Art. 37 DSGVO und § 38 BDSG benennen?
Sie müssen einen Datenschutzbeauftragten benennen, wenn eine der folgenden Bedingungen erfüllt ist:
- Die Verarbeitung von personenbezogenen Daten wird von einer Behörde oder öffentlichen Stelle durchgeführt, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln (Art. 37 Abs. 1 lit. a DSGVO).
- Die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht in der Durchführung von Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (Art. 37 Abs. 1 lit. b DSGVO).
- Die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 DSGVO (Art. 37 Abs. 1 lit. c DSGVO).
- Sie beschäftigen in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten (§ 38 Abs. 1 Satz 1 BDSG).
- Sie nehmen Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO unterliegen, oder verarbeiten personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung (§ 38 Abs. 1 Satz 2 BDSG).
Welche Aufgaben hat ein Datenschutzbeauftragter?
Ein Datenschutzbeauftragter ist eine Person, die dafür verantwortlich ist, dass ein Unternehmen die Datenschutzvorschriften einhält, die sich aus der DSGVO und dem BDSG ergeben. Zu den Aufgaben eines Datenschutzbeauftragten gehören unter anderem:
- das Unternehmen über seine datenschutzrechtlichen Pflichten zu informieren und zu beraten
- die Einhaltung der DSGVO und des BDSG sowie anderer relevanter Vorschriften zu überwachen
- bei der Durchführung von Datenschutz-Folgenabschätzungen zu beraten und diese zu überwachen
- als Ansprechpartner für die Aufsichtsbehörden und die betroffenen Personen zu dienen
- die Mitarbeiter des Unternehmens zu sensibilisieren und zu schulen
Ein Datenschutzbeauftragter muss über das erforderliche Fachwissen verfügen und darf keine Interessenkonflikte haben. Er muss unabhängig und weisungsfrei seine Aufgaben erfüllen können.
Was ist bei der Übermittlung von personenbezogenen Daten an Drittländer oder internationale Organisationen nach Art. 44 bis 50 DSGVO zu beachten?
Bei der Übermittlung von personenbezogenen Daten an Drittländer oder internationale Organisationen muss der Verantwortliche gemäß Art. 44 DSGVO die in Kapitel V der Verordnung festgelegten Bedingungen einhalten, um sicherzustellen, dass das Schutzniveau für die betroffenen Personen nicht untergraben wird. Die Übermittlung ist nur zulässig, wenn das Drittland oder die internationale Organisation ein angemessenes Schutzniveau für die personenbezogenen Daten bietet, wie von der Kommission in einem Angemessenheitsbeschluss gemäß Art. 45 DSGVO festgestellt, oder wenn der Verantwortliche geeignete Garantien gemäß Art. 46 DSGVO vorsieht, wie z.B. Standarddatenschutzklauseln oder verbindliche interne Datenschutzvorschriften. In bestimmten Ausnahmefällen kann die Übermittlung auch auf der Grundlage von Ausnahmen gemäß Art. 49 DSGVO erfolgen, wie z.B. der Einwilligung der betroffenen Person oder der Erfüllung eines Vertrags.
Wann muss ich einen Datenschutzverletzung nach Art. 33 und 34 DSGVO und § 58 BDSG melden und wem muss ich diese melden?
Als verantwortliche Stelle müssen Sie eine Datenschutzverletzung nach Art. 33 und 34 DSGVO und § 58 BDSG melden, wenn diese zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führt. Dies kann zum Beispiel der Fall sein, wenn personenbezogene Daten unbefugt offenbart oder verändert werden oder wenn sie verloren gehen oder vernichtet werden.
Die Meldung muss, nachdem Ihnen die Verletzung bekannt geworden ist, unverzüglich und möglichst binnen 72 Stunden erfolgen. Die Meldung muss an die Aufsichtsbehörde Ihres Bundeslandes gerichtet werden, für NRW wäre beispielsweise das LDI NRW zuständig. Die Meldung muss zumindest die folgenden Angaben enthalten:
- Beschreibung der Art der Verletzung, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, Kategorien und Datensätze
- Namen und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen
- Beschreibung der wahrscheinlichen Folgen der Verletzung
- Beschreibung der von Ihnen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung oder zur Minderung ihrer möglichen nachteiligen Auswirkungen
Zusätzlich müssen Sie die betroffenen Personen benachrichtigen, wenn die Verletzung zu einem hohen Risiko für deren Rechte und Freiheiten führt. Dies kann zum Beispiel der Fall sein, wenn die Verletzung zu einer Diskriminierung, einem Identitätsdiebstahl oder ‑betrug, einem finanziellen Verlust oder einer Rufschädigung führen kann. Die Benachrichtigung muss in klarer und einfacher Sprache erfolgen und die gleichen Angaben wie die Meldung an die Aufsichtsbehörde enthalten.
Die Benachrichtigung kann unterbleiben, wenn eine der folgenden Bedingungen erfüllt ist:
- Sie haben geeignete technische und organisatorische Schutzmaßnahmen ergriffen, die die personenbezogenen Daten vor dem unbefugten Zugriff oder der unbefugten Offenlegung schützen.
- Sie haben nachträglich Maßnahmen ergriffen, die sicherstellen, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen nicht mehr besteht.
- Die Benachrichtigung würde einen unverhältnismäßigen Aufwand erfordern. In diesem Fall müssen Sie stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme ergreifen, um die betroffenen Personen wirksam zu informieren.
Wenn Sie eine Datenschutzverletzung nicht rechtzeitig oder gar nicht melden oder die betroffenen Personen nicht benachrichtigen, können Sie mit einem Bußgeld von bis zu 10 Millionen Euro oder 2 % Ihres weltweiten Jahresumsatzes belegt werden.
Welche Länder gelten gemäß DSGVO als sichere Drittländer?
Sichere Drittländer sind solche, denen die Europäische Kommission per Angemessenheitsbeschluss ein angemessenes Datenschutzniveau bestätigt hat. Dort gewährleisten die nationalen Gesetze einen Schutz von personenbezogenen Daten, welcher mit dem des EU-Rechts vergleichbar ist.
Zu den sicheren Drittländern gehören:
- natürlich alle Mitgliedstaaten der EU
- die Länder des Europäischen Wirtschaftsraums (EWR) / der Europäischen Freihandelszone (EFTA): Norwegen, Island, Schweiz und Liechtenstein
- Andorra, Argentinien, Kanada (nur kommerzielle Organisationen), Färöer, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, Uruguay, Japan, das Vereinigte Königreich (befristet bis 2025) und Südkorea
In diese Länder ist die Datenübermittlung daher ausdrücklich gestattet.
Für andere Länder ohne Angemessenheitsbeschluss müssen geeignete Garantien oder Ausnahmen vorliegen, um eine Datenübermittlung zu ermöglichen. Dies kann beispielsweise durch den Einsatz von Standarddatenschutzklauseln oder die Einwilligung der betroffenen Personen geschehen.
Die USA gelten seit dem Urteil „Schrems II“ des EuGH im Juli 2020 nicht mehr als sicheres Drittland.
Muss ich eine Datenschutzerklärung für meine Unternehmenswebseite erstellen und veröffentlichen?
Ja, das müssen Sie. Eine Datenschutzerklärung ist eine Information für die Besucher Ihrer Webseite über die Verarbeitung ihrer personenbezogenen Daten. Sie sind als Betreiber der Webseite die verantwortliche Stelle für diese Datenverarbeitung und müssen daher die Rechte und Pflichten nach der Datenschutz-Grundverordnung (DSGVO) beachten. Eine Datenschutzerklärung hilft Ihnen, diese Pflichten zu erfüllen und das Vertrauen Ihrer Kunden zu stärken.
Wann muss ich einen Datenverarbeitungsvertrag mit einem Auftragsverarbeiter abschließen und was muss dieser enthalten?
Ein Datenverarbeitungsvertrag ist ein Vertrag zwischen einem Verantwortlichen und einem Auftragsverarbeiter, der die Rechte und Pflichten beider Parteien bei der Verarbeitung personenbezogener Daten regelt. Ein solcher Vertrag ist nach der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) erforderlich, wenn personenbezogene Daten im Auftrag eines Unternehmers von einem Dienstleister verarbeitet werden. Der Vertrag muss folgende Punkte enthalten:
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Art der personenbezogenen Daten und Kategorien von betroffenen Personen
- Umfang der Weisungsbefugnisse des Verantwortlichen
- Pflichten des Auftragsverarbeiters, insbesondere zur Vertraulichkeit, zur technischen und organisatorischen Sicherheit, zur Unterauftragsvergabe, zur Unterstützung des Verantwortlichen bei Anfragen und Rechten von Betroffenen, zur Meldung von Datenschutzverletzungen, zur Rückgabe oder Löschung der Daten nach Beendigung des Auftrags und zur Einhaltung der gesetzlichen Vorgaben
- Rechte des Verantwortlichen, insbesondere zur Kontrolle und Überprüfung der Einhaltung des Vertrags und des Datenschutzrechts durch den Auftragsverarbeiter
- Haftung und Schadensersatz bei Verstößen gegen den Vertrag oder das Datenschutzrecht
Ein Datenverarbeitungsvertrag muss schriftlich oder in einem elektronischen Format abgeschlossen werden. Er muss an die konkreten Umstände des jeweiligen Auftrags angepasst werden. Er muss auch die Möglichkeit berücksichtigen, dass die Datenverarbeitung außerhalb der Europäischen Union erfolgen kann, wenn dies mit angemessenen Garantien für den Schutz der personenbezogenen Daten verbunden ist.
Wie erkenne ich eine Datenpanne und wann muss ich diese melden?
Eine Datenpanne ist eine Verletzung des Schutzes personenbezogener Daten, die zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führen kann. Eine Datenpanne kann zum Beispiel die Vernichtung, der Verlust, die Veränderung oder die unbefugte Offenlegung von personenbezogenen Daten umfassen.
Als verantwortliche Stelle müssen Sie eine Datenpanne innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Datenschutzaufsichtsbehörde melden, es sei denn, die Datenpanne führt voraussichtlich nicht zu einem Risiko für die betroffenen Personen. Um eine Datenpanne zu erkennen, sollten Sie regelmäßig Ihre Sicherheitsmaßnahmen überprüfen und ein internes Meldeverfahren für Datenschutzvorfälle einführen. Außerdem sollten Sie ein Verzeichnis aller Datenpannen führen, in dem Sie die Fakten, die Auswirkungen und die ergriffenen Abhilfemaßnahmen dokumentieren.
Wenn eine Datenpanne ein hohes Risiko für die betroffenen Personen darstellt, müssen Sie diese auch unverzüglich informieren, damit sie sich vor möglichen Schäden schützen können. Eine Benachrichtigung ist jedoch nicht erforderlich, wenn Sie geeignete technische und organisatorische Schutzmaßnahmen getroffen haben, um die personenbezogenen Daten unverständlich zu machen, oder wenn Sie nachträglich Maßnahmen ergriffen haben, um das hohe Risiko auszuschließen, oder wenn die Benachrichtigung einen unverhältnismäßigen Aufwand erfordern würde.
Was muss ich bei einer Datenübermittlung ins Ausland beachten?
Eine Datenübermittlung ins Ausland liegt vor, wenn personenbezogene Daten an einen Empfänger in einem Drittstaat oder an eine internationale Organisation übermittelt werden. Ein Drittstaat ist ein Staat, der nicht Mitglied der Europäischen Union oder des Europäischen Wirtschaftsraums ist.
Die DSGVO und das BDSG stellen hohe Anforderungen an eine solche Datenübermittlung, um ein angemessenes Schutzniveau für die betroffenen Personen zu gewährleisten. Die allgemeinen Grundsätze und Rechte der DSGVO gelten auch für Datenübermittlungen ins Ausland.
Es gibt drei Möglichkeiten, eine Datenübermittlung ins Ausland zulässig zu gestalten:
- Angemessenheitsbeschluss: Die Europäische Kommission kann feststellen, dass ein Drittstaat oder eine internationale Organisation ein angemessenes Datenschutzniveau bietet, das dem der EU entspricht. In diesem Fall bedarf es keiner weiteren Schutzmaßnahme für die Datenübermittlung. Aktuell gibt es Angemessenheitsbeschlüsse für einige Länder wie z.B. Schweiz, Japan oder Uruguay.
- Geeignete Garantien: Wenn kein Angemessenheitsbeschluss vorliegt, muss die Datenübermittlung von geeigneten Garantien begleitet werden, die ein vergleichbares Schutzniveau sicherstellen. Die DSGVO sieht hier verschiedene Instrumente vor, wie z.B. Standarddatenschutzklauseln, verbindliche interne Datenschutzvorschriften oder Zertifizierungen.
- Ausnahmen: In bestimmten Situationen kann eine Datenübermittlung ins Ausland auch ohne Angemessenheitsbeschluss oder geeignete Garantien erfolgen, wenn eine der Ausnahmen nach Art. 49 DSGVO vorliegt. Dies kann z.B. der Fall sein, wenn die betroffene Person ausdrücklich eingewilligt hat, wenn die Datenübermittlung für die Erfüllung eines Vertrags erforderlich ist oder wenn die Datenübermittlung aus wichtigen Gründen des öffentlichen Interesses gerechtfertigt ist.
Bei jeder Datenübermittlung ins Ausland muss der Verantwortliche den Empfänger über die Zwecke der Verarbeitung informieren und ihn darauf hinweisen, dass die übermittelten Daten nur in dem Umfang verarbeitet werden dürfen, in dem ihre Verarbeitung für diese Zwecke erforderlich ist.
Wie gewährleiste ich die Betroffenenrechte?
Die Betroffenenrechte sind die Rechte, die die Personen haben, die von der Verarbeitung ihrer personenbezogenen Daten betroffen sind. Diese Rechte umfassen unter anderem Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch. Die DSGVO regelt in Kapitel 3 die Transparenz, die Modalitäten und die Informationspflichten für die Ausübung dieser Rechte.
Um die Betroffenenrechte zu gewährleisten, muss die verantwortliche Stelle folgende Schritte beachten:
- Die betroffenen Personen schon vor der erstmaligen Verarbeitung ihrer Daten über ihre Rechte und die Zwecke der Verarbeitung informieren.
- Die Anfragen der betroffenen Personen ohne unangemessene Verzögerung und in jedem Fall innerhalb eines Monats beantworten.
- Die Identität der betroffenen Personen überprüfen, bevor sie ihre Rechte ausüben können.
- Die personenbezogenen Daten der betroffenen Personen berichtigen oder löschen, wenn sie dies verlangen oder wenn die Daten nicht mehr für den Zweck erforderlich sind.
- Die Verarbeitung der personenbezogenen Daten der betroffenen Personen einschränken oder deren Übertragung an einen anderen Verantwortlichen ermöglichen, wenn sie dies verlangen oder wenn bestimmte Voraussetzungen erfüllt sind.
- Dem Widerspruch der betroffenen Personen gegen die Verarbeitung ihrer Daten entsprechen, wenn es dafür einen berechtigten Grund gibt.
Wann muss ich die Einwilligung der Betroffenen einholen und nachweisen?
Die Einwilligung der Betroffenen ist eine wichtige Voraussetzung für die Verarbeitung personenbezogener Daten zu bestimmten Zwecken, wie z.B. Marketing, Forschung oder Profiling, nach der DSGVO und dem BDSG. Die Einwilligung muss freiwillig, informiert, unmissverständlich und für den bestimmten Fall erteilt werden. Der Verantwortliche muss die Einwilligung nachweisen können und die Betroffenen über ihre Rechte und Pflichten aufklären. Die Betroffenen können ihre Einwilligung jederzeit widerrufen, ohne dass die Rechtmäßigkeit der bisherigen Verarbeitung beeinträchtigt wird.
