Ein Jungle an Bestimmungen: Die europäische Datenschutz-Grundverordnung besteht aus insgesamt 99 Artikeln. Diese Artikel wurden auf der Grundlage von 173 Erwägungsgründen veröffentlicht. Für einen DSGVO-Artikel sind oft mehrere Erwägungen als Grundlage zu betrachten. Daher ist es sehr hilfreich fachliche Expertise einzuholen.
Lassen sie sich beraten und bestellen sie einen externen Datenschutzbeauftragten von ONPRIVACY für ihr Unternehmen. Füllen sie am Ende dieser Seite das Kontakt-Formular aus — vereinbaren sie einen unverbindlichen Beratungstermin mit uns.
Die folgenden Informationen erheben keinen Anspruch auf Vollständigkeit und können keine individuelle Beratung ersetzen.
Grundsätze der DSGVO
Die Idee hinter der europäischen Lösung DSGVO ist, die 28 unterschiedlichen Regelungen im Datenschutz der EU-Mitgliedsstaaten zu vereinheitlichen. Schutz privater Daten, Nutzerrechte und Persönlichkeitsrechte sollen erheblich gestärkt und die Bedingungen für alle datenverarbeitenden Unternehmen konsolidiert werden.
Artikel 5 Absatz 1 definiert die Grundsätze der DSGVO als Grundlage für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten. Einige der Prinzipien seien an dieser Stelle genannt:
Transparenz: nach dem Transparenzprinzip können personenbezogene Daten „rechtmäßig, nach Treu und Glauben und in einer für die betroffenen Person nachvollziehbaren Weise“ verarbeitet werden. Umfang, Zweck und Aufbewahrungsdauer der erhobenen Daten müssen so hinterlegt sein, dass betroffene Personen sich darüber entsprechend informieren können.
Zweckbeschränkung: betroffene Personen müssen nicht nur über den Zweck der Verarbeitung informiert werden, sondern die erhobenen Daten dürfen auch nur zu dem angegebenen Zweck genutzt werden.
Speicherbegrenzung: Nach dem Prinzip der Speicherbegrenzung müssen die Daten „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange erlaubt, wie dies für die Zwecke erforderlich ist, für die sie verarbeitet werden“.
Richtigkeit: Personenbezogene Daten müssen „sachlich korrekt und gegebenenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.“
Datenminimierung: bei der Erhebung von Daten muss darauf geachtet werden, dass sie „dem Zweck angemessen und relevant sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt“ bleiben.
Grundsatz der Integrität und Vertraulichkeit: es besteht die Verpflichtung, dass die Art und Weise der Verarbeitung „eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen“.
Was sind „personenbezogene Daten“ (PBD)?
Die Datenschutz Grundverordnung — DSGVO — beschreibt in Art. 4 Abs. 1 als „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierbare oder identifizierte natürliche Person beziehen (betroffene Person). Eine natürliche Person gilt als identifizierbar, wenn sie direkt oder indirekt identifiziert werden kann. Insbesondere durch Zuordnungen zu einer Kennung wie einem Namen, einer Identifikationsnummer, Standortdaten, einer Online-Kennung oder einem oder mehreren Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, geistigen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind. Identifizierungsmerkmale wie IP-Adressen gelten als personenbezogene Daten, wenn Sie nicht gezielt anonymisiert werden.
In der Regel sind personenbezogene Daten in Unternehmen Daten von Kunden, Lieferanten und Mitarbeitern u. a. Also Namen und Adressen, E-Mail-Adressen, IP-Adressen, Personalnummern usw. Relevant dabei ist, wie diese Daten verarbeitet und gespeichert werden. Textdateien, Datenbankeinträge, Bilder, Video- oder Audiodaten … aber auch Röntgenbilder von Patienten usw. gehören zu den personenbezogenen Daten.
Die Verarbeitung personenbezogener Daten ist nur mit vorheriger Zustimmung zulässig. Dies bedeutet, dass eine solche Zustimmung vor jedem Datenverarbeitungsschritt, basierend auf klaren und spezifischen In0formationen über Datentypen und Verarbeitungszwecke, erfolgen muss. Für sensible personenbevzogene Daten muss eine ausdrückliches Einverständnis vorliegen, welches die Bedeutung für die Verarbeitung personenbezogener Daten unterstreicht.
Was ist ein Verzeichnis von Verarbeitungtätigkeiten?
Hierbei handelt es sich um eine Beschreibung und Übersicht der Prozesse, in denen personenbezogene Daten im Unternehmen verarbeitet werden. Es dient der Transparenz und zur rechtlichen Absicherung des Unternehmens. Eigentlich ist die Pflicht ein Verzeichnis aller Verarbeitungstätigkeiten zu führen nicht neu. Seit Inkrafttreten der DSGVO muss diese Dokumentation jederzeit und vollständig für die Aufsichtsbehörden vorgehalten werden. Die Aufsichtsbehörde muss sich anhand des Verzeichnisses ein Bild über technische und organisatorische Maßnahmen machen können. Der Inhalt wird in Art. 30 der DSGVO festgelegt.
- Name und Kontaktdaten des für die Verarbeitung Verantwortlichen und gegebenenfalls gemeinsam mit ihm Verantwortlichen, des Vertreters sowie eines etwaigen Datenschutzbeauftragten
- den Zweck der Verarbeitung
- eine Beschreibung der Kategorien betroffener Personen und Kategorien personenbezogener Daten
- die Kategorien von Empfängern, denen die personenbezogenen Daten mitgeteilt wurden oder werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen
- gegebenenfalls die Übermittlung personenbezogener Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, und die Dokumentation geeigneter Sicherheitsvorkehrungen für die Datenübermittlungen gemäß Art. 49 Abs. 1.
- wenn möglich, die Fristen für die Löschung der verschiedenen Datenkategorien
- wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1.
Grundsätzlich ist jede verantwortliche Stelle verpflichtet, eine Verzeichnis der Verarbeitungstätigkeiten zu erstellen und zu führen. Für Unternehmen oder Institutionen mit weniger als 250 Beschäftigten gibt es eine gewisse Erleichterung. Nach Art. 30 Abs. 5 DSGVO könnten diese bei der Verarbeitung personenbezogener Daten von der Führung eines Verzeichnisses befreit werden, wenn …
- keine Gefahr für die Rechte und Freiheiten der betroffenen Personen bestehen,
- die Verarbeitung nur gelegentlich erfolgt,
- keine besonderen Datenkategorien nach Art. 9 Abs. 1 DSGVO (bspw. Gesundheitsdaten) oder strafrechtliche Verurteilungen und Straftaten im Sinne Art. 10 DSGVO betroffen sind
Lassen sie sich ausführlich beraten — legen sie den Datenschutz ihres Unternehmens in erfahrene Hände !
Was pseudonymisierte | anonymisierte Daten?
Psydonymisierung: „das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.“
Die DSGVO umschreibt „Pseudonymisierung“ als die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden kann, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, und gewährleisten, dass die personenbezogenen Daten nicht zugewiesen werden können.
Beispiel: Daten — beispielsweise der Name — werden dabei durch ein Pseudonym ersetzt. Das sind in der Regel mehrstellige Buchstaben und / oder Zahlen oder andere Codes.
Anonymisierung: „das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großem Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmten natürlichen Person zugeordnet werden können.“
Sobald Daten anonymisiert sind, handelt es sich nicht mehr um personenbezogene Daten, da die betreffende Person nicht identifiziert werden kann. Alle direkten Identifikationsmerkmale wie Namen, Adressen, Kontaktdaten … etc. müssen gelöscht sein.
Was sind technische und organisatorische Maßnahmen?
Alle Schutzversuche die allgemein physisch durchführbar sind gehören zu den technischen Maßnahmen. Das sind beispielsweise Zäune, die Sicherungen von Eingängen und Fenstern, Alarmanlagen, Videoüberwachung und andere Gebäudesicherungen. Oder Maßnahmen die in Hardware oder digitalen Applikationen umgesetzt werden (Passworterzwingung, Benutzeridentifikation etc.) gehören dazu. Zu den organisatorischen Maßnahmen zählen Schutzversuche die durch Handlungsanweisungen, Prozesse, Verfahrens- und Vorgehensweisen, Prüfungen usw. umgesetzt werden.
Der Datenschutzbeauftragte von ONPRIVACY erstellt einen auf das Unternehmen abgestimmten Anforderungskatalog von Maßnahmen um die Datensicherheit und den Schutz personenbezogener Daten in ihrem Unternehmen zu gewährleisten.
Wir freuen uns auf ihre Nachricht. Senden sie uns ihre Kontaktdaten für ein erstes Beratungsgespräch. Es ist unverbindlich und kostenfrei. Wir prüfen bei unserer persönlichen Erstberatung den aktuellen Stand des Datenschutzes in ihrem Unternehmen und ermitteln möglichen Handlungsbedarf.
An dieser Stelle verzichten wir auf eine detailliertere Abfrage benötigter Kontakt- und Unternehmensdaten. Diese klären wir im ersten persönlichen Beratungsgespräch.