Was ist die DSGVO?

In den letzten Jahren gab es mehrere Überprüfungen der Umsetzungen der alten Richtlinie 95/46/EG. Dabei wurde festgestellt, dass die Datenschutzvorgaben unterschiedlich  und vielfach unzureichend umgesetzt wurden. Am 25. Januar 2012 hat die Europäische Kommission den Entwurf der DSGVO vorgestellt.
 

Für wen gilt die DSGVO?

Die DSGVO gilt für alle Unternehmen,
  • die in der EU ansässig sind und
  • für Unternehmen die außerhalb der EU sitzen, wenn sie:
    • Eine Niederlassung in der EU haben oder
    • personenbezogene Daten von EU-Bürgern verarbeiten
 

Seit wann gilt die DSGVO?

Die DSGVO ist am 25. Mai 2016 in Kraft getreten.
Sie gilt seit dem 25.05.2018.
 

Was sind Personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person  beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
 

Wann dürfen personenbezogene Daten erhoben werden?

Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen des. Art. 6 Abs. 1 DSGVO erfüllt ist:
  • Die betroffene Person hat ihre Einwilligung gegeben;
  • die Verarbeitung ist für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich;
  • die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich,
  • die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
  • die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt;
  • die Verarbeitung ist zur Wahrung der berechtigten Interessen erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
 

Was bedeutet Informationspflicht?

Die Informationspflicht ist in Art. 13 und 14 DSGVO geregelt. Seiner Informationspflicht kommt der Verantwortliche durch eine Datenschutzerklärung nach. Die Datenschutzerklärung ist individuell zu gestalten. So sieht eine Datenschutzerklärung für eine Internetseite z.B. anders als als eine Datenschutzerklärung für die Mitarbeiter eines Unternehmens.
 

Was ist ein Verarbeitungsverzeichnis?

Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Grundsätzlich muss kein Verarbeitungsverzeichnis geführt werden, wenn weniger als 250 Mitarbeiter beschäftigen werden es sei denn (und dieses wird wohl eher der Regelfall als die Ausnahme sein):
  • die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen,
  • die Verarbeitung erfolgt nicht nur gelegentlich oder
  • es erfolgt eine Verarbeitung besonderer Datenkategorien (z.B. Gesundheitsdaten, Religionszugehörigkeit)
 

Was muss im Verarbeitungsverzeichnis angegeben werden?

Im Verarbeitungsverzeichnis muss angegeben werden (siehe Art. 30 DSGVO):
  • der Namen und die Kontaktdaten des Verantwortlichen
  • Kontaktdaten des etwaigen Datenschutzbeauftragten
  • die Zwecke der Verarbeitung
  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation,
  • wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen ​
 

Was ist ein Auftragsverarbeitungsverzeichnis (AVV)?

Auftragsverarbeitung ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten durch einen Auftragnehmer (natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle), der die Daten im Auftrag des Verantwortlichen verarbeitet.
 
Bsp.: 
  • externen Kundencenters (z.B. Callcenter)
  • Internetseiten-Hoster
Liegt eine Auftragsverarbeitung vor, muss ein Auftragsverarbeitungsvertrag (AVV) zwischen dem Verantwortlichen und dem Auftragsverarbeiter geschlossen werden.