Wir sind Ihre Problemlöser
für den Datenschutz!

Allgemeine Fragen

Diese Pflicht ist zu erfüllen, sobald die Voraussetzungen hierzu vorliegen.

Die Aufgabe kann über eine Dienstleistungsvertrag gem. Art. 37 Abs. 6 DS-GVO erfüllt werden. Dies gilt auch für öffentliche Stellen, z.B. Notariate.
Der Datenschutzbeauftragte muss über entsprechende Fachkenntnis verfügen. Es dürfen nur solche Personen zum Beauftragten für Datenschutz bestellt werden, die die notwendige Zuverlässigkeit zur Ausführung ihres Amtes besitzen. Der Datenschutzbeauftragte muss in seiner Entscheidung und Bewertung von Sachverhalten unabhängig sein. Der Datenschutzbeauftragte muss frei von Interessenkonflikten sein. Dadurch dürfen folgende Personengruppen nicht zum Datenschutzbeauftragten bestellt werden:
  • (Mit)Inhaber von Unternehmen
  • Mitglieder der Unternehmensleitung / Vorstand
  • Abteilungsleiter
  • EDV- und Personalverantwortliche
  • IT- Administratoren
Ebenso sollte vermieden werden, dass enge Verwandten der Unternehmensleitung / der Vorstände zum Datenschutzbeauftragten bestellt werden, da Interessenskonflikte nicht ausgeschlossen werden können.

Eine „Verarbeitung“ ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung, die Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich, die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Ein „Verantwortlicher“ ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Damit sind Geschäftsführer, Vorstände oder Behördenleiter gemeint.

„Auftragsverarbeiter“ ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Als Auftragsverarbeiter müssen Sie beachten, dass Sie im Einklang mit den Anforderungen der DS-GVO arbeiten und den Schutz der Rechte der betroffenen Personen gewährleisten. Sie dürfen keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch nehmen. Sollte eine allgemeine, schriftlichen Genehmigung vorliegen, so informieren Sie den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter.

„Gesundheitsdaten“ sind personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.

Personenbezogene Daten sind solche Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wie:

  • Allgemeine Personendaten (Name, Geburtsdatum und Alter, Geburtsort, Anschrift, E-Mail-Adresse, Telefonnummer, usw.),
  • Kennnummern (Sozialversicherungsnummer, Steueridentifikationsnummer, Nummer bei der Krankenversicherung, Personalausweisnummer, Matrikelnummer, usw.),
  • Bankdaten (Kontonummern, Kreditinformationen, Kontostände, usw.),
  • Online-Daten (IP-Adresse, Standortdaten, usw.),
  • physische Merkmale (Geschlecht, Haut-, Haar- und Augenfarbe, Statur, Kleidergröße, usw.),
  • Besitzmerkmale (Fahrzeug- und Immobilieneigentum, Grundbucheintragungen, Kfz-Kennzeichen, Zulassungsdaten, usw.),
  • Kundendaten (Bestellungen, Adressdaten, Kontodaten, usw.),
  • Werturteile (Schul- und Arbeitszeugnisse usw.) und
  • u.v.m.

„Besondere Kategorien personenbezogener Daten“ sind z.B. folgende Daten:

  • rassische oder ethnische Herkunft,
  • politische Meinungen,
  • religiöse oder weltanschauliche Überzeugungen,
  • Gewerkschaftszugehörigkeiten hervorgehen,
  • genetische Daten,
  • biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person,
  • Gesundheitsdaten,
  • Daten zum Sexualleben oder zur sexuellen Orientierung

Eine Datenschutz-Folgenabschätzung – auch DSFA genannt – ist eine Risikoanalyse zum Schutz von personenbezogenen Daten und muß durch die datenverarbeitende Stelle vorab erstellt werden. Dabei werden Verarbeitungsvorgänge geprüft und bewertet.

Eine „Einwilligung“ ist jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Das Verzeichnis von Verarbeitungstätigkeiten ist eine verpflichtendes Dokument welches von jedem Verantwortlichen erstellt werden muß. In diesem Dokument werden alle relevanten Verarbeitungsvorgänge dokumentiert.

Bußgelder für Datenschutzverstöße und Datenpannen betragen in Deutschland i.d.R. mindestens 972,00 €.

Die Bußgeldhöhe hängt von verschiedenen Faktoren ab:

  • Umsatzgröße des Unternehmens
  • Schweregrad der Tat
  • Formelle oder materialle Verstöße
  • Fahrlässigkeit oder Vorsatz

Hierzu findet ein Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder Anwendung.

Eine Datenpanne liegt vor, sobald

  • Datenvernichtung unbeabsichtigt oder unbeauftragt erfolgt
  • Datenverlust z.B. durch Diebstahl oder Unachtsamkeit vorkommt
  • Datenveränderungen unbeabsichtigt oder unrechtmäßig erfolgen
  • eine Offenlegung unbefugt erfolgt
  • sich unbefugte Zugang zu personenbezogenen Daten (z..B Einbruch) verschaffen
  • Verschlüsselungstrojanern und/oder Schadsoftware auf It-Systeme installiert oder ausgeführt werden

Eine Datenpanne ist unverzüglich nach Bekanntwerden, jedoch längstens nach 72 Stunden der zuständigen Aufsichtsbehörde zu melden.

Grundsätzlich ist jede Datenpanne zu melden.