Die FAQs zur EU-Datenschutzgrundverordnung

1. Welche Daten werden durch die DS-GVO geschützt?

Sogenannte „personenbezogene Daten“ „natürlicher Personen“ werden durch die DS-GVO geschützt, unabhängig davon, um welche Kategorie von Personen es geht, also ob es sich hierbei um

  • Mitarbeiter-,
  • Geschäftspartner-, Kunden- oder
  • Lieferantendaten handelt.

Dabei ist unter dem Begriff: „personenbezogene Daten“ folgendes zu verstehen:

Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Beispiel personenbezogener Daten:

  • Name, Alter, Familienstand, Geburtsdatum
  • Anschrift, Telefonnummer, E-Mail-Adresse
  • Konto-, Kreditkartennummer
  • Bonitätsdaten
  • Kraftfahrzeugnummer, Kfz-Kennzeichen
  • Personalausweisnummer, Sozialversicherungsnummer
  • IP-Adresse
  • genetische Daten und Krankendaten
  • Werturteile wie zum Beispiel Zeugnisse
  • Fotos

 

Natürliche Personen“ sind Menschen im Gegensatz zu „juristischen Personen“, bei denen es sich um Unternehmen wie z.B. eine GMBH handelt.

Sind Daten nicht personenbeziehbar (z. B. anonymisierte Statistikdaten), so sind Datenschutzgesetze nicht zu beachten.

2. Muss man den Datenschutz auch bei Firmenkunden beachten?

Der Datenschutz gilt grundsätzlich auch im Geschäftsverkehr mit anderen Unternehmen. Einzelangaben über juristische Personen, wie zum Kapitalgesellschaften oder eingetragene Vereine, sind keine personenbezogenen Daten.

Wenn sich jedoch die Angaben auch auf die hinter der juristischen Person stehenden Personen beziehen, das heißt auf sie „durchschlagen“, ist der Datenschutz wieder anzuwenden. Dies kann beispielsweise bei der GmbH einer Einzelperson oder bei einer Einzelfirma der Fall sein.

In der Regel haben Sie bei Firmenkunden einen Ansprechpartner und erheben z. B. Name, personalisierte E-Mail-Adresse, Funktion im Unternehmen usw.

Hierbei handelt es sich wiederum um personenbezogene Daten, da eine natürliche Person identifizierbar ist.

3. Gilt das Datenschutzrecht auch bei Dateien, die in Papierform verarbeitet werden?

Ja, die DS-GVO unterscheidet nicht zwischen Papier- und elektronischer Verarbeitung. Bei einer papiergebundenen Datenverarbeitung muss aber eine strukturierte Sammlung von personenbezogenen Daten vorhanden sein. Kleine Notizen auf Blöcken oder „Post-it“ Aufkleber fallen also nicht darunter, wenn sie nicht geordnet abgelegt werden.

4. Werden auch Kleingewerbetreibende von der DS-GVO erfasst?
Ja, alle Unternehmen müssen ihre Datenverarbeitungsvorgänge an die neuen Vorgaben der DS-GVO anpassen. Dies gilt nicht nur für große, sondern auch für kleine Unternehmen. Kleine Unternehmen sind lediglich von einzelnen wenigen Pflichten ausgenommen; dies betrifft etwa unter Umständen die Pflicht zur Bestellung eines Datenschutzbeauftragten. Ansonsten müssen sämtliche Vorgaben umgesetzt werden, denn unter die DS-GVO fällt jede Stelle, die personenbezogene Daten.
5. Brauche ich für jede Datenverarbeitung immer eine Einwilligung?

Nein, Sie benötigen für jede Verarbeitung von personenbezogenen Daten eine datenschutzrechtliche Rechtsgrundlage (etwa Vertrag oder Anbahnung eines Vertrags, Einwilligung, Interessenabwägung berechtigtes Interesse). Die Rechtsgrundlage kann in bestimmten Fällen auch eine Einwilligung sein (z. B. Anmeldung zum Bezug eines Newsletters, Geburtstagsliste von Mitarbeitern). Beruht die Datenverarbeitung auf einer vertraglichen Basis, um den Vertrag abzuwickeln, sind Einwilligungen für die Erhebung und Verarbeitung der Daten nicht erforderlich.

Aber Vorsicht: Sollen die so erhobenen Daten für andere Zwecke als die Vertragsabwicklung verarbeitet werden (z. B. Verwertung der Daten für eine Studie oder Weitergabe der Daten an Dritte), so bedarf es einer Einwilligung für den neuen Zweck.

6. Wie sieht eine Einwilligung aus?

Eine wirksame Einwilligung muss

  • über den Zweck der Verarbeitung informieren
  • freiwillig erteilt sein, d. h. sie darf nicht an eine Bedingung gekoppelt sein
  • eindeutig sein, also das Einverständnis muss deutlich werden und
  • den Hinweis enthalten, dass sie mit Wirkung für die Zukunft jederzeit widerrufen werden kann.
7. Was bedeutet die Rechenschaftspflicht?

Sie bedeutet, dass Unternehmen in der Lage sein müssen, gegenüber Aufsichtsbehörden nachzuweisen, dass sie alle Vorgaben des Datenschutzes einhalten. Hierzu gehören auch die Datenschutzgrundsätze nach Artikel 5 DS-GVO

8. Darf ich die Daten meiner Mitarbeiter verarbeiten?
Die Daten von Stellenbewerbern, Mitarbeitern und ausgeschiedenen Mitarbeitern dürfen nach § 26 BDSG zur Begründung, Durchführung und Beendigung des Arbeitsverhältnisses verarbeitet werden. Geht eine Datenverarbeitung aber über diesen Zweck hinaus, z. B. die Veröffentlichung von Fotos auf der Firmenhomepage, ist darüber hinaus eine Einwilligung erforderlich. Eine Einwilligung muss immer freiwillig sein. Es dürfen bei Verweigerung also keine Nachteile drohen.
9. Was ist ein Datenschutzmanagement?
Zu einem Datenschutz-Managementsystem gehören u. a. die Führung eines Verzeichnisses von Verarbeitungstätigkeiten, ein Vertragsmanagement für Auftragsverarbeitungen, Prozesse zur Meldung von Datenpannen und zur Wahrnehmung von Betroffenenrechten sowie die Schulung von Mitarbeitern und deren Verpflichtung zur Verschwiegenheit und zu guter Letzt ein Datensicherheitskonzept.
10. Was ist ein Verzeichnis von Verarbeitungstätigkeiten?
Ein solches Verzeichnis ist eine Zusammenfassung von einzelnen Verarbeitungsvorgängen, bei denen personenbezogene Daten verarbeitet werden, aber später in ein Dateisystem gespeichert werden sollen. Der Inhalt eines solchen Verzeichnisses ist gesetzlich geregelt. Das Verzeichnis muss wesentliche Angaben zur Verarbeitung beinhalten.
11. Muss ich auch noch Datensicherheit beachten?

Ja, die DS-GVO verknüpft Datenschutz und Datensicherheit. Die personenbezogenen Daten, die in dem Unternehmen verarbeitet werden, müssen auch technisch geschützt werden, indem sog. technisch-organisatorische Maßnahmen getroffen sind. Sie hängen von der Schutzwürdigkeit der Daten und der Intensität der Verarbeitung ab. Aber schon aus eigenem Interesse sollte jedes Unternehmen seine Daten – ob personenbezogen oder nicht – ausreichend gegen Fremdzugriffe schützen. Das betrifft auch den Schutz vor Feuer und Wasser, so dass – verschlüsselte – Sicherungskopien an einem anderen Ort aufbewahrt werden sollten.

Das Niveau der Datensicherheit ist abhängig vom Umfang der Datenverarbeitung, der Schutzwürdigkeit der Daten, ob sie online oder offline verarbeitet werden und den Zugriffsmöglichkeiten auf die Daten.

12. Benötigt mein Unternehmen einen Datenschutzbeauftragten?

Ja, wenn

  1. ihr Unternehmen, deren Kerntätigkeit in der systematischen Überwachung oder Verarbeitung besonderer personenbezogener Daten besteht (das gilt nicht bei einem Versicherungsvermittler, der auch Gesundheitsdaten erhebt, da dies nicht seine Kerntätigkeit ist);
  2. wenn der Verantwortliche/Auftragsverarbeiter in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt (z. B. regelmäßige Kommunikation per E-Mail)
    oder
  3. wenn der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vornehmen, die einer Datenschutz-Folgeabschätzung nach Art. 35 DSGVO unterliegen. Das bedeutet, wenn besonders sensible Daten verarbeitet werden, wie zum Beispiel ethische Herkunft, politische Meinungen, Gewerkschaftszugehörigkeit, religiöse Überzeugungen, genetische Daten, biometrische Daten, Gesundheitsdaten, Daten zur sexuellen Orientierung usw. – dann hat das Unternehmen unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen einen Datenschutzbeauftragten zu benennen.
13. Wer kann betrieblicher Datenschutzbeauftragter werden?
Datenschutzbeauftragter darf nur sein, wer sowohl in rechtlicher als auch in technischer Hinsicht über die erforderlichen Kenntnisse verfügt und nicht Gefahr läuft, kraft seiner Position in dem Unternehmen einer Interessenkollision ausgesetzt zu sein. Damit kommen also weder Führungskräfte mit Personalverantwortung noch solche aus dem IT-Bereich (intern/extern) infrage. Der Datenschutzbeauftragte kann sowohl ein Mitarbeiter des Unternehmens als auch eine externe Person sein. Soweit ein Mitarbeiter zum Datenschutzbeauftragten ernannt wird, genießt dieser einen besonderen Kündigungsschutz und kann auch nur aus einem wichtigen Grund seines Amtes enthoben werden. Der besondere Kündigungsschutz reicht sogar bis zu einem Jahr nach Beendigung seiner Tätigkeit als Datenschutzbeauftragter fort. Ob eine Befristung der Ernennung rechtlich wirksam ist, ist sehr umstritten.
14. Was sind die Aufgaben eines Datenschutzbeauftragten?

Zusammengefasst lassen sich drei Bereiche von Pflichtaufgaben einteilen:

  • Interne Aufgaben im Unternehmen:
  • Unterrichtung und Beratung der Geschäftsführung und Mitarbeiter in datenschutzrelevanten Fragen;
  • Überwachung der Einhaltung der rechtlichen Vorgaben;
  • Sensibilisierung und Schulung von Mitarbeitern)
  • Anlaufstelle im Verhältnis zur Aufsichtsbehörde und Zusammenarbeit mit dieser
  • Anlaufstelle für betroffene Personen
15. Was ist eine Datenschutz-Folgenabschätzung?
Eine Datenschutz-Folgenabschätzung ist eine Abschätzung der Folgen einer Datenverarbeitung mit voraussichtlich hohem Risiko für die Rechte und Freiheiten natürlicher Personen. Diese ist immer dann durchzuführen, wenn besonders sensible, personenbezogene Daten verarbeitet werden oder die Datenverarbeitung dazu bestimmt war, die Persönlichkeit des Betroffenen, einschließlich seiner Fähigkeiten, Leistungen oder seines Verhaltens zu bewerten. Sie hat den Zweck, rechtzeitig geeignete Maßnahmen ergreifen zu können, um das Risiko eines Schadens bei den Betroffenen zu minimieren.
24. Was bedeutet Auftragsverarbeitung?

Eine Auftragsverarbeitung liegt vor, wenn ein Betrieb zwar personenbezogene Daten für seine Zwecke nutzt, die tatsächliche Verarbeitung und Aufbereitung dieser Daten aber nicht selbst durchführt, sondern von einem externen Dienstleister vornehmen lässt. Der Dienstleister verarbeitet die Daten für und im Auftrag des Betriebs. Dafür ist dann ein gemeinsamer Vertrag, der sogenannte Auftragsverarbeitungsvertrag abzuschließen, mit folgenden Mindestanforderungen an den Inhalt:

  • Gegenstand des Auftrags
  • Dauer des Auftrags
  • Zweck der Datenverarbeitung
  • Art der zu verarbeitenden Daten
  • Kategorien der betroffenen Personen
  • Ergreifung der erforderlichen technischen und organisatorischen Maßnahmen
  • Umfang der Weisungsbefugnisse
  • Rückgabe/Löschen von Datenträgern nach Beendigung des Auftrags
25. Mit welchen Sanktionen bei Verstößen ist zu rechnen? ‎

Die DS-GVO sieht empfindliche Geldstrafen bei Verstößen gegen Datenschutzbestimmungen vor. Die Höhe dieser Strafen kann bei besonders schlimmen Vergehen bis zu 20 Millionen Euro oder vier Prozent des letzten Jahresumsatzes betragen.