Hier finden Sie Fragen, Grundsätze und Begriffsbestimmungen zur Datenschutz-Grundverordnung (DS-GVO).
Die Verarbeitung personenbezogener Daten ist wesentlicher Bestandteil der Informationsgesellschaft und der digitalen Wirtschaft. Von der Erhebung bis hin zur Verarbeitung und Speicherung dieser Daten finden IT Prozesse grenzübergreifend statt. Mit der DS-GVO soll der Schutz personenbezogener Daten harmonisiert und ein gemeinsames Datenschutzniveau innerhalb der EU geschaffen werden.
Nein! Bereits die EG- Datenschutzrichtlinie 95/46/EG verfolgte das Ziel, ein gemeinsames Datenschutzniveau zum Schutz personenbezogener Daten zu bilden. Eine Richtlinie muss jedoch von den Mitgliedstaaten in das jeweilige nationale Recht umgesetzt werden. Diese Umsetzung führte nicht zum gewünschten Erfolg. Mit Wirksamwerden der DS-GVO wurde diese Richtlinie aufgehoben. Die DS-GVO wurde bereits am 27. April 2016 verabschiedet und am 4. Mai 2016 im Amtsblatt der EU veröffentlicht. Die DS-GVO trat bereits am 25. Mai 2016 in Kraft.
Die DS-GVO trat zwar bereits am 25. Mai 2016 in Kraft. Sie gilt jedoch nach Art. 99 Abs. 2 DS-GVO erst ab dem 25. Mai 2018. Bis dahin gelten deshalb noch die bislang national bestehenden Datenschutzbestimmungen.
Damit wollte der Gesetzgeber dem Umstand Rechnung tragen, dass eine Anpassung der IT Verarbeitung sowie der laufende Unternehmensprozess der Vorbereitung und der Anpassung bedürfen.
Nein! Der Schutz personenbezogener Daten innerhalb der EU wird von der DS-GVO nicht umfassend und vollständig geregelt. Sie ist eben eine GRUNDVERORDNUNG. Sie sieht zwar eine allgemeine und grundlegende Regelung zur Verarbeitung personenbezogener Daten vor, die Details werden von den Mitgliedstaaten ausgestaltet. Die DS-GVO erhält eine Vielzahl von Klauseln, die den Mitgliedstaaten ermöglichen, ergänzende Vorschriften zum Schutz personenbezogener Daten zu erhalten oder zu schaffen. Daher wurden in Deutschland das BDSG, das SGB I und das SGB X neu gefasst. Anpassungen des SGB V und SGB XI werden erwartet.
Grundsätzlich: DS-GVO vor SGB. Das Datenschutzrecht wird nunmehr in den Mitgliedstaaten der EU einheitlich durch die DS-GVO geregelt. Nur bei zulässigen Abweichungen oder Ergänzungen gelten die Vorschriften des nationalen Rechts, z. B. § 35 Abs. 2 SGB I n. F.
Nein! Die DS-GVO gilt auch für vor dem 25 Mai 2018 gespeicherte Daten. Die Einhaltung der DS-GVO gilt somit grundsätzlich für alte wie auch neue Verarbeitung von personenbezogenen Daten.
Nein! Die Verarbeitung ist rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a. Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
b. die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
c. die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
d. die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
e. die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
f. die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Grundsätzlich ist dies nach Art. 9 Abs. 1 DS-GVO untersagt. Die DS-GVO sieht jedoch Ausnahmetatbestände in Art. 9 DS-GVO vor und eröffnet in Art. 9 Abs. 4 DS-GVO den Mitgliedstaaten die Möglichkeit, zusätzliche Bedingungen, einschließlich Beschränkungen, einzuführen oder aufrechtzuerhalten, soweit die Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten betroffen ist.
Die DS-GVO sieht vor, dass Minderjährige erst ab 16 Jahren wirksam eine Einwilligung erteilen können. Die DS-GVO erlaubt den einzelnen Mitgliedstaaten, abweichende Regelungen zu erlassen, jedoch nicht unter der Grenze von 13 Jahren.
Ein Verstoß gegen die DS-GVO kann sowohl zu einer Geldbuße (Art. 83 DS-GVO) als auch zu einem Schadenersatzanspruch (Art. 82 DS-GVO) des Geschädigten führen.
Die DS-GVO sieht in Art. 83 Abs. 5 DS-GVO bei Verstößen gegen die Bestimmungen der DS-VGO Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs vor. Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes geprüft:
a) Verbot mit Erlaubnisvorbehalt
Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten, es sei denn, sie ist erlaubt, durch
- Gesetz, z. B. DS-GVO, BDSG, SGB
- Einwilligung der betroffenen Person
b) Transparenz
Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.
c) Zweckbindung
Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.
Eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken.
d) Datenminimierung
Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.
e) Datenrichtigkeit
Die Daten müssen inhaltlich und sachlich richtig und aktuell sein.
f) Speicherbegrenzung
Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.
Personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden.
g) Integrität und Vertraulichkeit
Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen.
h) Rechenschaftspflicht
Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können.
i) Datensicherheit
Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
a) Personenbezogene Daten
Das sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person richten. „Identifizierbar“ ist eine Person, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung, wie einem Namen, einer Kennnummer, Standortdaten, online Kennung oder anderen besonderen Merkmalen identifiziert werden kann, Art. 4 Nr. 1 DS-GVO.
b) Besondere Kategorien von personenbezogene Daten
Hierbei handelt es sich um besonders schutzwürdige Daten. Das sind:
- Angaben über die rassische und ethnische Herkunft
- Angaben über politische Meinungen,
- Religiöse oder weltanschauliche Überzeugungen,
- Angaben zur Gewerkschaftszugehörigkeit,
- genetische Daten,
- biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person,
- Angaben über Gesundheit,
- Angaben zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person
c) Genetische Daten
Sind personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden.
d) Biometrische Daten
Sind mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten.
e) Gesundheitsdaten
Sind personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.
f) Sozialdaten
Sozialdaten sind personenbezogene Daten (Art. 4 Nr. 1 DS-GVO), die von einer in § 35 SGB I genannten Stelle im Hinblick auf ihre Aufgaben nach diesem Gesetzbuch verarbeitet werden.
g) Verarbeitung
Jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung
h) Einwilligung
Einwilligung der betroffenen Person ist jede freiwillige für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigten Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
i) Verletzung des Schutzes personenbezogener Daten
Eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.
j) Verantwortlicher
Verantwortlicher ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.
k) Auftragsverarbeiter
Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
l) Empfänger
Empfänger ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, denen personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung;
m) Dritter
Dritter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten