Datenpedia – häufige Fragen

Wissenswertes rund um den Datenschutz

Wichtige Begriffe schnell erklärt

Ein Auftragsverarbeiter ist eine natürliche, juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. 

Beispiel: Ein Restaurant will allen Stammkunden eine Weihnachtskarte per Post schicken. Es übergibt die Liste der Kundendaten an eine Druckerei, die die Karten drucken und versenden soll. Die Druckerei ist der Auftragsverarbeiter.

Eine Auftragsverarbeitung liegt dann vor, wenn Daten im Auftrag des Verantwortlichen durch Dritte verarbeitet werden.

 Beispiel: Ein Restaurant will allen Stammkunden eine Weihnachtskarte per Post schicken. Es übergibt die Liste der Kundendaten an eine Druckerei, die die Karten drucken und versenden soll. Eine Tätigkeit der Druckerei besteht darin, die Adressen der Kunden auf die Karte zu drucken. Diese Tätigkeit nennt man Auftragsverarbeitung. Das Restaurant ist hier Auftraggeber, die Druckerei Auftragsnehmer. 

Eine Auftragsverarbeitung liegt auch vor, wenn das Restaurant Rechnungen mit einem Online-Rechnungsprogramm erstellt oder einen Newsletter über einen Webdienstleister versendet.

In solchen Fällen muss immer ein Vertrag zur Auftragsverarbeitung gem. Art. 28, 29 DSGVO abgeschlossen werden. 

Keine Auftragsverarbeitung liegt vor, wenn ein Verantwortlicher rechtlich dazu verpflichtet ist, Daten an Dritte weiterzugeben.

Beispiel: Ist das Restaurant verpflichtet, Daten an Dritte weiterzugeben, ist kein Vertrag zur Auftragsverarbeitung nötig. Das gilt beispielsweise für die Weitergabe der Corona-Gästeliste an das Gesundheitsamt, die Weitergabe einer Gästerechnung an das Finanzamt, oder wenn es sich bei diesem Dritten um einen Berufsgeheimnisträger handelt, etwa einen Steuerberater.

Kurzpapier Nr. 13 „Auftragsverarbeitung, Art. 28 DS-GVO“ der Datenschutzkonferenz (PDF, 360 kB)

Zur „besonderen Kategorie personenbezogener Daten“ gehören Daten, anhand derer Nationalität oder ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugung oder Gewerkschaftszugehörigkeit einer Person erkennbar ist.

Ebenfalls hierzu gehören Gesundheitsdaten, biometrische Daten, genetische Daten, Angaben zur sexuellen Orientierung sowie Daten zum Sexualleben.

Umgangssprachlich nennt man diese Daten auch „sensible Daten“, da diese Daten, falls sie öffentlich gemacht werden, Rechte und Freiheiten der betroffenen Person beschneiden könnten.

Diese „besonderen Daten“ unterliegen besonderem Schutz und sind in der DSGVO unter Art. 9 berücksichtigt.

Ein Betroffener ist die Person, deren personenbezogene Daten erhoben, verarbeitet, genutzt oder weitergegeben werden.

Jede Person, die irgendwo oder irgendwie Daten angibt und deren Daten für etwas verarbeitet werden, ist Betroffener – im Grunde jeder, z. B.:

  • Betroffene sind Gäste, die beim Lieblingsitaliener einen Tisch reservieren, egal ob online oder analog.
  • Ein Betroffener ist auch der Lieblingsitaliener, weil er eine Steuererklärung abgibt.
  • Ebenso Betroffener ist der Kunde, der in einem Onlineshop bestellt.
  • Aber auch der Patient, der zum Arzt geht oder Kinder und Eltern im Sportverein.

Die richtige amtliche Bezeichnung lautet:

„Bundesbeauftragter für Datenschutz und Informationssicherheit“. 

Hier handelt es sich um die oberste Bundesbehörde in Sachen Datenschutz. 

Dieser Behörde steht der Bundesdatenschutzbeauftragte vor. Seit Januar 2019 hat Ulrich Kleber dieses Amt inne. 

Der Bundesdatenschutzbeauftragte wird von der Bundesregierung vorgeschlagen und vom Bundestag für 5 Jahre gewählt.

 

Ein Datenschutzbeauftragter (kurz: DSB) muss ein Zertifikat bzw. eine Ausbildung zum Datenschutzbeauftragten nachweisen können.

Der Datenschutzbeauftragte ist in einem Unternehmen oder einer Organisation zuständig für die Kontrolle, dass die Vorgaben der DSGVO bzw. der Datenschutzrichtlinien eingehalten werden.

Ein Unternehmen muss beim zuständigen Landesamt einen Datenschutzbeauftragten bestellen bzw. benennen, wenn mindestens 20 Personen im Unternehmen ständig mit personenbezogenen Daten umgehen.

Ein DSB kann intern aus dem Unternehmen benannt werden oder extern durch einen Dienstleister bestellt werden.

Werden bei einem Betroffenen personenbezogene Daten erhoben, muss der Verantwortliche dies dem Betroffenen in einer Information mitteilen. Dies Information muss enthalten:

  • Kontaktdaten des Verantwortlichen
  • Kontaktdaten des Datenschutzbeauftragten, falls einer bestellt worden ist
  • Zweck, für den die Daten erhoben worden sind (z. B. Tischresrevierung im Restaurant) und die Rechtsgrundlage dafür (z. B.: Durchführung vorvertraglicher oder vertraglicher Maßnahmen, Art. 6 b DSGVO)
  • ob diese personenbezogenen Daten an Dritte weitergegeben werden
  • ob die Daten in ein Drittland oder eine internationale Organisation übermittelt werden, also außerhalb der EU landen
  • Speicherdauer der Daten
  • Rechte des Betroffenen

Diese Information muss für den Betroffenen leicht zugänglich sein.

Beispiel: Ein Restaurant weist bereits bei der Reservierung auf Art. 13 DSGVO hin oder hängt eine Information in seinen Räumen aus.

Ein Datenschutzkoordinator ist für die Koordination des Datenschutzes in einem Unternehmen zuständig. Der Datenschutzkoordinator ist häufig auch Ansprechpartner für den externen Datenschutzbeauftragten. Jedoch kann der Koordinator im Gegensatz zum Datenschutzbeauftragten nicht beim Landesamt für Datenschutzaufsicht benannt werden.

Die Datenschutz-Grundverordnung ist eine Verordnung der Europäischen Union, die die Verarbeitung personenbezogener Daten durch private (Dienstleister, Unternehmen etc.) und öffentliche Datenverarbeiter europaweit einheitlich regelt. Die Verordnung regelt die Erhebung, Verarbeitung, Nutzung und Weitergabe personenbezogener Daten. Die DSGVO schützt Grundrechte und Grundfreiheiten einer natürlichen Person und insbesondere deren Recht auf den Schutz personenbezogener Daten.

Die Verordnung muss von allen Verantwortlichen oder Auftragsverarbeitern umgesetzt werden, deren Niederlassung oder Tätigkeit sich in der Europäischen Union befindet.

So ist eine Softwarefirma aus den USA mit einer Niederlassung in Bayern verpflichtet, die DSGVO umzusetzen, da die Verarbeitung der personenbezogenen Daten innerhalb der EU stattfindet.

Anders sieht es bei einer Softwarefirma aus, die ihren Sitz oder eine Niederlassung in Irland hat. In diesem Fall ist die Firma nicht verpflichtet die DSGVO umzusetzen, weil die Verarbeitung der personenbezogenen Daten außerhalb der EU stattfindet – auch dann nicht, wenn sie Daten von Bürgern aus der EU verarbeitet.

Die DSGVO fordert, dass ein Betroffener der Verarbeitung seiner personenbezogenen Daten zustimmen muss. Es gibt verschiedene Möglichkeiten, seine Einwilligung abzugeben.

Eine Einwilligung in die Verarbeitung seiner personenbezogenen Daten für einen bestimmten Zweck erfolgt etwa, wenn ein Betroffener aktiv auf „Ja, ich stimme zu“ bei den Cookie-Einstellungen einer Website klickt oder ein Papierformular mit seinem Namen unterschreibt.

Damit bestätigt der Betroffene sein Zustimmung, dass persönliche Daten von ihm, z. B. die E-Mail-Adresse oder sein Geburtsdatum, für einen bestimmten Zweck genutzt werden dürfen. Beispiele sind der  Geburtstagsgruß per E-Mail oder einem Werbeanschreiben zum Jubiläum eines Unternehmens, z. B. des Lieblingsitalieners oder der Weinhandlung. 

Keine Einwilligung ist nötig, wenn der Zweck der Erhebung, Verarbeitung, Nutzung oder Weitergabe über den eigentlichen Zweck hinaus geht. 

Beispiel: Beim Lieblingsitaliener kann man online einen Tisch reservieren. Dafür muss der Gast seine E-Mail-Adresse angeben. Nach der Online-Reservierung erhält er die Reservierungsbestätigung per Mail. Am fraglichen Tag ist das  Restaurant überraschend geschlossen, oder die Reservierung muss aus einem anderen Grund storniert werden. Deshalb erhält der Gast wieder eine E-Mail, dieses Mal mit dem Stornierungshinweis. Dafür benötigt das Resataurant keine gesonderte Einwilligung des Gastes, denn alle Vorgänge gehören zum „Zweck der Reservierung und allen damit nötigen Vorgängen“.

Eine Einwilligung ist dagegen erforderlich, wenn Verarbeitung und Nutzung der Daten über den „Zweck der Reservierung“ hinausgehen.

Wenn etwa der Lieblingsitaliener den Gast per E-Mail informieren will, dass er neue Gerichte auf der Speisekarte hat, ist dies nicht von der ursprünglichen Eniwilligung gedeckt – er muss also hier erneut eine aktive Einwilligung anfragen.

Das Landesamt für Datenschutz überwacht die Einhaltung des Datenschutzes im nichtöffentlichen Raum. Es berät Verantwortliche und betriebliche Datenschutzbeauftrage.

Personenbezogene Daten sind alle Daten, die eine natürliche Person identifizieren können. Hierzu zählen u. a.:

  • E-Mail-Adressen
  • Telefonnummern
  • Adressen
  • Krankenkassennummern
  • Rechnungsnummern
  • IBAN
  • Fahrgestellnummern
  • IP-Adressen

Hat ein Verarbeiter mindestens 50 % seiner Arbeitszeit mit personenbezogenen Daten zu tun, so spricht man von „ständigem Umgang“ mit personenbezogenen Daten.

Die Definition „ständiger Umgang bzw. Umgang mit personenbezogenen Daten“ ist leider nicht genau einzugrenzen. Im Grunde bedeutet es jedoch, dass jedes Unternehmen und jede Organisation ständig mit personenbezogenen Daten umgeht, auch wenn es nur das Vermerken von Reservierungen des Lieblingsitalieners oder die Lohnzahlung an den Aushilfskoch ist. 

Technische und organisatorische Maßnahmen (TOM) sind Maßnahmen, die in einer Organisation oder in einem Unternehmen ergriffen werden, um die Vorgaben und Richtlinien der DSGVO sowie die rechtlichen Verpflichtungen einzuhalten.

Diese Maßnahmen dienen der Sicherheit der Verarbeitung personenbezogener Daten.

Zu technischen und organisatorischen Maßnahmen zählen u. a.:

  • Zutrittskontrolle
  • Zugangs- und Zugriffskontrolle
  • Weitergabekontrolle
  • Trennungskontrolle
  • Eingabekontrolle
  • Auftragskontrolle
  • Verfügbarkeitskontrolle
  • Zugangskontrolle

Der Verwantwortliche ist eine natürliche oder juristische Person, eine Behörde, Einrichtung oder eine andere Stelle, die über den Zweck und die Art der Verarbeitung entscheidet, also welche Mittel benutzt werden.

Beispiel: Unser Lieblingsitaliener ist der Verantwortliche für unsere Online-Reservierung. Bestellt der Lieblingsitaliener bei der Weinshop24 GmbH Wein, ist die GmbH der Verantwortliche. In Vereinen ist es der Verein selbst der Verantwortliche.

Ein Vertrag zur Auftragsverarbeitung gem. Art. 28, 29 DSGVO muss abgeschlossen werden, wenn ein Verantwortlicher in seinem Auftrag Daten durch Dritte verarbeiten lässt. Ist dieser Dritte ein Auftragsverarbeiter, muss ein Vertrag zur Auftragsverarbeitung abgeschlossen werden.