Informationen zum Daten­schutz und DSGVO

Grundsätze der DSGVO

Die Idee hinter der euro­päischen Lö­sung DSGVO ist, die 28 unter­schied­lichen Re­gelungen im Daten­schutz der EU-Mitglieds­staaten zu ver­ein­heit­lichen. Schutz privater Daten, Nutzer­rechte und Per­sön­lich­keits­rechte sollen er­heb­lich ge­stärkt und die Be­dingungen für alle daten­ver­ar­bei­ten­den Unter­nehmen kon­so­li­diert werden.

Artikel 5 Absatz 1 definiert die Grund­sätze der DSGVO als Grund­lage für die Er­hebung, Verarbeitung und Nutzung personen­be­zogener Daten. Einige der Prinzipien seien an dieser Stelle genannt:

Transparenz: nach dem Transparenzprinzip können personen­bezogene Daten „recht­mäßig, nach Treu und Glauben und in einer für die be­troffenen Person nach­voll­zieh­baren Weise“ ver­arbeitet werden. Umfang, Zweck und Auf­be­wahrungs­dauer der er­hobenen Daten müssen so hinter­legt sein, dass betroffene Personen sich darüber ent­sprechend in­formieren können.

Zweckbeschränkung: betroffene Personen müssen nicht nur über den Zweck der Ver­arbeitung in­formiert werden, sondern die er­hobenen Daten dürfen auch nur zu dem an­ge­ge­benen Zweck genutzt werden.

Speicherbegrenzung: Nach dem Prinzip der Speicher­be­grenzung müssen die Daten „in einer Form ge­speichert werden, die die Identi­fi­zierung der be­troffenen Personen nur so lange er­laubt, wie dies für die Zwecke er­forder­lich ist, für die sie ver­arbeitet werden“.

Richtigkeit: Personen­bezogene Daten müssen „sachlich korrekt und ge­gebenen­falls auf dem neuesten Stand sein; es sind alle an­ge­messenen Maßnahmen zu treffen, damit per­sonen­be­zogene Daten, die im Hin­blick auf die Zwecke ihrer Ver­arbeitung un­richtig sind, un­ver­züglich gelöscht oder berichtigt werden.“

Datenminimierung: bei der Er­hebung von Daten muss darauf geachtet werden, dass sie „dem Zweck an­gemessen und relevant sowie auf das für die Zwecke der Ver­arbeitung notwendige Maß beschränkt“ bleiben.

Grundsatz der In­te­gri­tät und Vertraulichkeit: es besteht die Ver­pflichtung, dass die Art und Weise der Ver­arbeitung „eine an­ge­messene Sicherheit der per­so­nen­be­zogenen Daten ge­währ­leistet, ein­schließlich Schutz vor un­be­fugter oder un­recht­mäßiger Ver­arbeitung und vor un­be­ab­sichtigtem Verlust, un­be­ab­sichtigter Zer­störung oder un­be­ab­sichtigter Schädigung durch ge­eignete technische und or­ga­ni­sa­torische Maßnahmen“.

Was sind „personenbezogene Daten“ (PBD)?

Die Daten­schutz Grund­ver­ordnung — DSGVO — be­schreibt in Art. 4 Abs. 1 als „per­so­nenbe­zo­gene Daten“ alle In­for­ma­tionen, die sich auf eine iden­ti­fi­zierbare oder identi­fizierte na­türliche Person be­ziehen (be­troffene Person). Eine na­türliche Person gilt als iden­ti­fi­zierbar, wenn sie direkt oder in­direkt iden­ti­fi­ziert werden kann. Ins­be­sondere durch Zu­ordnungen zu einer Kennung wie einem Namen, einer Identi­fi­ka­tions­nummer, Stand­ort­daten, einer Online-Kennung oder einem oder mehreren Merk­malen, die Aus­druck der physischen, physio­lo­gischen, ge­ne­tischen, geistigen, wirt­schaft­lichen, kul­tu­rellen oder sozialen Identi­tät dieser na­türlichen Person sind. Identi­fi­zierungs­merk­male wie IP-Adressen gel­ten als per­so­nen­be­zogene Daten, wenn Sie nicht gezielt anonymisiert werden.

In der Regel sind per­so­nen­be­zogene Daten in Unter­nehmen Daten von Kunden, Lieferanten und Mit­arbeitern u. a. Also Namen und Adressen, E-Mail-Adressen, IP-Adressen, Per­so­nal­nummern usw. Relevant dabei ist, wie diese Daten ver­arbeitet und ge­speichert werden. Text­da­teien, Daten­bank­ein­träge, Bilder, Video- oder Audio­daten … aber auch Röntgen­bilder von Patienten usw. ge­hören zu den per­so­nen­be­zo­genen Daten.

Die Ver­arbeitung per­so­nen­be­zo­gener Daten ist nur mit vor­heriger Zu­stimmung zu­lässig. Dies be­deutet, dass eine solche Zu­stimmung vor jedem Daten­ver­arbeitungs­schritt, basierend auf klaren und spe­zi­fi­schen In­0for­ma­tionen über Daten­typen und Ver­arbeitungs­zwecke, er­folgen muss. Für sen­sible per­so­nen­bevzogene Daten muss eine aus­drück­liches Ein­ver­ständnis vor­liegen, welches die Be­deutung für die Ver­arbeitung per­so­nen­be­zo­gener Daten unter­streicht.

Was ist ein Verzeichnis von Verarbeitungtätigkeiten?

Hierbei handelt es sich um eine Be­schreibung und Übersicht der Prozesse, in denen per­sonen­be­zo­gene Daten im Unter­nehmen ver­arbeitet werden. Es dient der Trans­parenz und zur recht­lichen Ab­sicherung des Unter­nehmens. Eigent­lich ist die Pflicht ein Ver­zeichnis aller Ver­arbeitungs­tätig­keiten zu führen nicht neu. Seit Inkraft­treten der DSGVO muss diese Do­ku­mentation jeder­zeit und voll­ständig für die Auf­sichts­be­hörden vor­gehalten werden. Die Auf­sichts­behörde muss sich an­hand des Ver­zeichnisses ein Bild über technische und or­ga­ni­sa­torische Maßnahmen machen können. Der Inhalt wird in Art. 30 der DSGVO festgelegt.

  1. Name und Kontakt­­daten des für die Ver­arbeitung Ver­ant­wort­lichen und ge­gebenen­falls ge­meinsam mit ihm Ver­ant­wort­lichen, des Ver­treters sowie eines etwaigen Daten­schutz­be­auftragten
  2. den Zweck der Verarbeitung
  3. eine Be­schreibung der Kate­gorien be­troffener Personen und Kate­gorien per­sonen­be­zogener Daten
  4. die Kategorien von Empfängern, denen die per­sonen­be­zogenen Daten mitgeteilt wurden oder werden, ein­schließlich Empfänger in Dritt­ländern oder internationalen Or­ga­ni­sa­tionen
  5. gegebenen­falls die Über­mittlung per­sonen­be­zogener Daten an ein Dritt­land oder an eine inter­nationale Organisation, ein­schließlich der Angabe des be­treffenden Dritt­lands oder der be­treffenden inter­nationalen Or­ga­ni­sation, und die Do­ku­mentation ge­eigneter Sicher­heits­vor­kehrungen für die Daten­über­mittlungen gemäß Art. 49 Abs. 1.
  6. wenn möglich, die Fristen für die Löschung der ver­­schiedenen Daten­kategorien
  7. wenn möglich, eine allgemeine Be­schreibung der technischen und or­ga­ni­sa­torischen Maßnahmen gemäß Art. 32 Abs. 1.

Grund­sätzlich ist jede ver­ant­wort­liche Stelle ver­pflichtet, eine Ver­zeichnis der Ver­arbeitungs­tätig­keiten zu er­stellen und zu führen. Für Unter­nehmen oder Institutionen mit weniger als 250 Be­schäftigten gibt es eine gewisse Er­leichterung. Nach Art. 30 Abs. 5 DSGVO könnten diese bei der Ver­arbeitung per­sonen­be­zogener Daten von der Führung eines Ver­zeichnisses befreit werden, wenn …

  • keine Gefahr für die Rechte und Frei­heiten der be­troffenen Personen be­stehen,
  • nur gelegentlich erfolgen
  • keine besonderen Daten­kategorien nach Art. 9 Abs. 1 DSGVO (bspw. Gesund­heits­daten) oder straf­recht­liche Ver­urteilungen und Straf­taten im Sinne Art. 10 DSGVO betroffen sind

Lassen Sie sich ausführlich beraten — legen Sie den Daten­schutz Ihres Unter­nehmens in er­fahrene Hände ! 

Was pseudonymisierte | anonymisierte Daten?

Psydonymisierung: „das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kenn­zeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu er­schweren.“

Die DSGVO umschreibt „Pseudonymisierung“ als die Verarbeitung per­so­nen­be­zogener Daten in einer Weise, dass die personen­be­zogenen Daten ohne Hin­zu­ziehung zu­sätzlicher Infor­ma­tionen nicht mehr einer spezifischen be­troffenen Person zu­geordnet werden kann, sofern diese zu­sätzlichen Infor­ma­tionen ge­sondert auf­be­wahrt werden und technischen und or­ga­ni­sa­torischen Maßnahmen unter­liegen, und gewähr­leisten, dass die per­sonen­bezogenen Daten nicht zu­gewiesen werden können.
Beispiel: Daten — beispiels­weise der Name — werden dabei durch ein Pseu­donym er­setzt. Das sind in der Regel mehr­stellige Buch­staben und / oder Zahlen oder andere Codes.

Anonymisierung: „das Ver­ändern personen­be­zogener Daten derart, dass die Einzel­an­gaben über persönliche oder sachliche Ver­hältnisse nicht mehr oder nur mit einem un­ver­hält­nis­mäßig großem Auf­wand an Zeit, Kosten und Arbeits­kraft einer bestimmten oder bestimmten natürlichen Person zu­geordnet werden können.“

Sobald Daten anonymisiert sind, handelt es sich nicht mehr um per­so­nen­be­zogene Daten, da die be­treffende Person nicht identifiziert werden kann. Alle direkten Identifikations­merk­male wie Namen, Adressen, Kontakt­daten … etc. müssen gelöscht sein.

Was sind technische und organisatorische Maßnahmen?

Alle Schutz­ver­suche die all­gemein physisch durch­führbar sind gehören zu den technischen Maß­nahmen. Das sind bei­spiels­weise Zäune, die Sicherungen von Ein­gängen und Fenstern, Alarm­an­lagen, Video­über­wachung und andere Ge­bäude­sicherungen. Oder Maß­nahmen die in Hard­ware oder digitalen Applikationen um­gesetzt werden (Pass­wort­er­zwingung, Be­nutzer­identifikation etc.) gehören dazu. Zu den orga­ni­sa­torischen Maß­nahmen zählen Schutz­versuche die durch Handlungs­an­­weisungen, Prozesse, Verfahrens- und Vor­gehens­weisen, Prüfungen usw. um­gesetzt werden.

Der Daten­schutz­beauftragte von ONPRIVACY erstellt einen auf das Unter­nehmen ab­ge­stimmten An­forderungs­katalog von Maß­nahmen um die Daten­sicherheit und den Schutz per­so­nenbe­zogener Daten oder Daten­kategorien in Ihrem Unter­nehmen zu ge­währ­leisten.

Wir freuen uns auf Ihre Nach­richt. Senden Sie uns Ihre Kontakt­daten für ein erstes Be­ratungs­ge­spräch. Es ist un­ver­bind­lich und kosten­frei. Wir prüfen bei unserer per­sönlichen Erst­be­ratung den aktuellen Daten­schutz in Ihrem Unter­nehmen und er­mitteln mög­lichen Handlungs­bedarf.

HerrFrau

Ihr Vorname *
Ihr Nachname *

Ihre E-Mail-Adresse *
Ihre Telefonnummer (optional)

Ihre Nachricht (optional)

Bitte Sicherheits-Code eingeben: *   captcha

Mit der Er­he­bung und Ver­wendung meiner per­so­nen­be­zo­genen Daten (siehe Datenschutzerklärung) bin ich ein­ver­standen. Ich stimme zu, dass meine An­gaben zur Kontakt­auf­nahme bzw. zur Be­arbeitung meines An­liegens ge­speichert werden. Eine Kopie der Nach­richt wird an meine E-Mail-Adresse gesendet. *

 

    * Pflichtfeld

Wir verzichten an dieser Stelle auf eine de­taillierte Ab­frage der be­nötigten Unter­nehmens­daten. Lassen Sie uns alles weitere in einem per­sön­lichen Gespräch klären …

Menü