IT-Recht

FAQ Datenschutzrecht

Gilt die DSGVO auch im privaten Bereich und was bedeutete Datenverarbeitung überhaupt? Wie setze ich die DSGVO in meinem Unternehmen um und wann bin ich Verantwortlicher? Hier finden Sie Antworten auf häufige Fragen zum Datenschutzrecht:

 

Nein. Die DSGVO findet keine Anwendung, wenn die sog. Haushaltsausnahme (Art. 2 Abs. 2 lit. c DSGVO) greift. Tätigkeiten, bei denen personenbezogene Daten ausschließlich im privaten und familiären Bereich verarbeitet werden, unterliegen damit nicht der DSGVO.

Gemeinsame Verantwortlichkeit liegt vor ,wenn mehrere Beteiligte gemeinsam Mittel und Zweck der Datenverarbeitung festlegen. Anwendungsbereiche sind u.a.

  • Facebook und Facebook Fanpage Betreiber (so der EuGH)
  • Arzneimittelstudien, wenn bspw. Sponsor, Studienzentrum, Klinik in Teilbereichen Entscheidungen über die Verarbeitung treffen
  • Gemeinsame Verwaltung bestimmter Datenkategorien für mehrere Konzernunternehmen

Der Begriff „Verarbeitung“ im Sinne der DSGVO ist weit zu verstehen. Erfasst wird jeder Vorgang mit personenbezogenen Daten. Darunter fallen insbesondere, das Erheben, Speichern, Aufbewahren, Löschen, Vernichten von Daten.

Ein Auftragsverarbeiter ist eine natürliche oder juristische Person, die weisungsgebunden im Auftrag des Verantwortlichen personenbezogene Daten verarbeitet. Der Auftragsverarbeiter wird ausschließlich weisungsgebunden tätig, d.h. er verfolgt keinerlei eigenen Zwecke in Bezug auf die personenbezogenen Daten.

Typische Auftragsverarbeitungstätigkeiten sind bspw. die Aktenvernichtung durch ein externes Unternehmen, die Nutzung einer Software-as-a-Service-Lösung Dritter, über die personenbezogene Daten (bspw. Kundendaten, Mitarbeiterdaten) verwaltet werden.

Keine Auftragsverarbeitung liegt vor, wenn der eingesetzte Dienstleister nicht weisungsgebunden ist. Zu dieser Gruppe gehören bspw. Steuerberater und Rechtsanwälte. Sie arbeiten weisungsungebunden.

Es muss sich zudem bei der Datenverarbeitung um eine Kerntätigkeit handelt. Die dt. Post ist bspw. bei der reinen Briefbeförderung kein Auftragsverarbeiter, obwohl zwangsläufig die Empfängeradresse verarbeitet werden muss.

„Verantwortlicher“ im Sinne der DSGVO ist eine natürliche oder juristische Person (bspw. ein Unternehmen), die allein oder gemeinsam mit anderen über Zweck und Mittel der Datenverarbeitung entscheidet.

Daten mit Personenbezug sind Daten, die sich auf eine identifizierte oder jedenfalls identifizierbare natürliche Person beziehen. Beispiele für personenbezogene Daten sind u.a. Name, Anschrift, Telefonnummer, Alter, Geschlecht, E-Mail-Adresse, Fotos, etc..

Gemeinsame Verantwortliche müssen einen sog. Joint-Controller-Vertrag im Sinne von Art. 26 DSGVO schließen. Hierin muss u.a. geregelt werden, wer welche Verpflichtungen der DSGVO erfüllt. Den Betroffenen muss zudem das Wesentliche dieser Vereinbarung zur Verfügung gestellt werden. Die Verantwortlichen müssen darüber hinaus sicherstellen, dass Anfragen von Betroffenen in jedem Fall bearbeitet werden, unabhängig davon, was intern zwischen den Verantwortlichen vereinbart wurde.

Personenbezogene Daten müssen nach Treu und Glauben verarbeitet werden. Artikel 5 DSGVO legt insoweit neun Prinzipien fest:

  1. Personenbezogene Daten müssen rechtmäßig verarbeitet werden, d.h. auf Basis einer Rechtsgrundlage.
  2. Sie müssen nach Treu und Glauben, d.h. fair verarbeitet werden.
  3. Die Datenverarbeitung muss transparent sein.
  4. Die Daten dürfen nur zweckgebunden verarbeitet werden (nicht wahllos).
  5. Es dürfen nur so viel Daten wie zwingend notwendig verarbeitet werden (Grundsatz der Datenminimierung).
  6. Personenbezogene Daten müssen korrekt sein.
  7. Personenbezogene Daten dürfen nur so lange gespeichert werden, wie der Zweck dies erfordert oder eine gesetzliche Regelung dies erlaubt (Speicherbegrenzung).
  8. Personenbezogene Daten müssen vertraulich behandelt werden (Integrität und Vertraulichkeit)
  9. Personenbezogene Daten müssen nachvollziehbar verarbeitet werden, d.h. den Verantwortlichen trifft eine Rechenschaftspflicht.

Zunächst muss eine Bestandsaufnahme aller Datenverarbeitungsprozesse von personenbezogenen Daten durchgeführt werden. Hilfreich kann die Unterteilung in Handlungsfelder / Abteilungen sein (bspw. Marketingabteilung, Personalabteilung, etc.). In diesem Zuge sollte ein Verarbeitungsverzeichnis erstellt werden, in dem u.a. die Rechtsgrundlage für die Datenverarbeitung zu dokumentieren ist. Im Rahmen der Erstellung des Verarbeitungsverzeichnisses sollten neben den Rechtsgrundlagen auch die getroffenen technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten geprüft und dokumentiert werden.

Alle betroffenen Personen müssen über die Datenverarbeitung informiert werden. Insoweit sind Datenschutzerklärungen zu erstellen, ggfs. zu aktualisieren.

Werden Dienstleister genutzt, müssen diese Dienstleistungsverhältnisse geprüft und über vertragliche Regelungen abgesichert werden. Notwendige datenschutzrechtliche Vereinbarungen (Auftragsverarbeitungsvertrag, Vertraulichkeitsvereinbarungen, Joint-Controller-Verträge, etc.) müssen geschlossen und ggfs. aktualisiert werden.

Mitarbeiter müssen zwingend im Umgang mit personenbezogenen Daten sensibilisiert werden.

Ein Prozess zur Beantwortung von Betroffenenrechten ist zu implementieren.

Es muss zudem ein Prozess implementiert werden, in dessen Rahmen Maßnahmen und Risiken evaluiert und verbessert werden.

In Deutschland ist das Datenschutzrecht in der Datenschutz-Grundverordnung (DSGVO), im Bundesdatenschutzgesetz (BDSG) und in zahlreichen spezialgesetzlichen Normen geregelt. Alle nationalen Regelungen müssen europarechtskonform sein, d.h. der maßgebliche Rahmen ist die DSGVO.

In Deutschland ist das Datenschutzrecht in der europäischen Datenschutz-Grundverordnung (DSGVO), im (nationalen) Bundesdatenschutzgesetz (BDSG) und in zahlreichen nationalen,  spezialgesetzlichen Normen geregelt. Alle nationalen Regelungen müssen europarechtskonform sein, d.h. den maßgeblichen Rahmen steckt die Datenschutz-Grundverordnung.