FAQ – DS-GVO

Hier finden Sie Fragen, Grundsätze und Begriffsbestimmungen zur Datenschutz-Grundverordnung (DS-GVO).

Die Verarbeitung personenbezogener Daten ist wesentlicher Bestandteil der Informationsgesellschaft und der digitalen Wirtschaft. Von der Erhebung bis hin zur Verarbeitung und Speicherung dieser Daten finden IT Prozesse grenzübergreifend statt. Mit der DS-GVO soll der Schutz personenbezogener Daten harmonisiert und ein gemeinsames Datenschutzniveau innerhalb der EU geschaffen werden.

Nein! Bereits die EG- Datenschutzrichtlinie 95/46/EG verfolgte das Ziel, ein gemeinsames Datenschutzniveau zum Schutz personenbezogener Daten zu bilden. Eine Richtlinie muss jedoch von den Mitgliedstaaten in das jeweilige nationale Recht umgesetzt werden. Diese Umsetzung führte nicht zum gewünschten Erfolg. Mit Wirksamwerden der DS-GVO wurde diese Richtlinie aufgehoben. Die DS-GVO wurde bereits am 27. April 2016 verabschiedet und am 4. Mai 2016 im Amtsblatt der EU veröffentlicht. Die DS-GVO trat bereits am 25. Mai 2016 in Kraft.

Die DS-GVO trat zwar bereits am 25. Mai 2016 in Kraft. Sie gilt jedoch nach Art. 99 Abs. 2 DS-GVO erst ab dem 25. Mai 2018. Bis dahin gelten deshalb noch die bislang national bestehenden Datenschutzbestimmungen.

Damit wollte der Gesetzgeber dem Umstand Rechnung tragen, dass eine Anpassung der IT Verarbeitung sowie der laufende Unternehmensprozess der Vorbereitung und der Anpassung bedürfen.

Nein! Der Schutz personenbezogener Daten innerhalb der EU wird von der DS-GVO nicht umfassend und vollständig geregelt. Sie ist eben eine GRUNDVERORDNUNG. Sie sieht zwar eine allgemeine und grundlegende Regelung zur Verarbeitung personenbezogener Daten vor, die Details werden von den Mitgliedstaaten ausgestaltet. Die DS-GVO erhält eine Vielzahl von Klauseln, die den Mitgliedstaaten ermöglichen, ergänzende Vorschriften zum Schutz personenbezogener Daten zu erhalten oder zu schaffen. Daher wurden in Deutschland das BDSG, das SGB I und das SGB X neu gefasst. Anpassungen des SGB V und SGB XI werden erwartet.

Grundsätzlich: DS-GVO vor SGB. Das Datenschutzrecht wird nunmehr in den Mitgliedstaaten der EU einheitlich durch die DS-GVO geregelt. Nur bei zulässigen Abweichungen oder Ergänzungen gelten die Vorschriften des nationalen Rechts, z. B. § 35 Abs. 2 SGB I n. F.

Nein! Die DS-GVO gilt auch für vor dem 25 Mai 2018 gespeicherte Daten. Die Einhaltung der DS-GVO gilt somit grundsätzlich für alte wie auch neue Verarbeitung von personenbezogenen Daten.

Nein! Die Verarbeitung ist rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a. Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b. die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c. die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d. die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

e. die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f. die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Grundsätzlich ist dies nach Art. 9 Abs. 1 DS-GVO untersagt. Die DS-GVO sieht jedoch Ausnahmetatbestände in Art. 9 DS-GVO vor und eröffnet in Art. 9 Abs. 4 DS-GVO den Mitgliedstaaten die Möglichkeit, zusätzliche Bedingungen, einschließlich Beschränkungen, einzuführen oder aufrechtzuerhalten, soweit die Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten betroffen ist.

Die DS-GVO sieht vor, dass Minderjährige erst ab 16 Jahren wirksam eine Einwilligung erteilen können. Die DS-GVO erlaubt den einzelnen Mitgliedstaaten, abweichende Regelungen zu erlassen, jedoch nicht unter der Grenze von 13 Jahren.

  • Führung eines Verzeichnisses aller Datenverarbeitungstätigkeiten
  • Dokumentationspflichten
  • Risikobewertung
  • Datenschutzfolgenabschätzung
  • Neue Vorgaben für Einwilligungserklärungen
  • Erweiterte Vorgaben für die Datenschutzerklärungen auf Websiten
  • Pflicht zur Datenportabilität
  • Recht auf Vergessenwerden von Nutzerdaten
  • Neuregelung bei der Auftragsdatenverarbeitung

Ein Verstoß gegen die DS-GVO kann sowohl zu einer Geldbuße (Art. 83 DS-GVO) als auch zu einem Schadenersatzanspruch (Art. 82 DS-GVO) des Geschädigten führen.
Die DS-GVO sieht in Art. 83 Abs. 5 DS-GVO bei Verstößen gegen die Bestimmungen der DS-VGO Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs vor. Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes geprüft:

  1. Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;
  2. Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;
  3. jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;
  4. Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen;
  5. etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters;
  6. Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern;
  7. Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;
  8. Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat;
  9. Einhaltung der nach Artikel 58 Absatz 2 früher gegen den für den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wurden;
  10. Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach Artikel 42 und
  11. jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.

a) Verbot mit Erlaubnisvorbehalt

Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten, es sei denn, sie ist erlaubt, durch
- Gesetz, z. B. DS-GVO, BDSG, SGB
- Einwilligung der betroffenen Person

b) Transparenz

Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.

c) Zweckbindung

Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.
Eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken.

d) Datenminimierung

Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.

e) Datenrichtigkeit

Die Daten müssen inhaltlich und sachlich richtig und aktuell sein.

f) Speicherbegrenzung

Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.
Personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden.

g) Integrität und Vertraulichkeit

Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen.

h) Rechenschaftspflicht

Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können.

i) Datensicherheit


Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

a) Personenbezogene Daten

Das sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person richten. „Identifizierbar“ ist eine Person, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung, wie einem Namen, einer Kennnummer, Standortdaten, online Kennung oder anderen besonderen Merkmalen identifiziert werden kann, Art. 4 Nr. 1 DS-GVO.

b) Besondere Kategorien von personenbezogene Daten

Hierbei handelt es sich um besonders schutzwürdige Daten. Das sind:
- Angaben über die rassische und ethnische Herkunft
- Angaben über politische Meinungen,
- Religiöse oder weltanschauliche Überzeugungen,
- Angaben zur Gewerkschaftszugehörigkeit,
- genetische Daten,
- biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person,
- Angaben über Gesundheit,
- Angaben zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person

c) Genetische Daten

Sind personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden.

d) Biometrische Daten


Sind mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten.

e) Gesundheitsdaten

Sind personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.

f) Sozialdaten

Sozialdaten sind personenbezogene Daten (Art. 4 Nr. 1 DS-GVO), die von einer in § 35 SGB I genannten Stelle im Hinblick auf ihre Aufgaben nach diesem Gesetzbuch verarbeitet werden.

g) Verarbeitung

Jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung

h) Einwilligung

Einwilligung der betroffenen Person ist jede freiwillige für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigten Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

i) Verletzung des Schutzes personenbezogener Daten

Eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

j) Verantwortlicher

Verantwortlicher ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.

k) Auftragsverarbeiter


Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

l) Empfänger

Empfänger ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, denen personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung;

m) Dritter


Dritter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten

Häufig gestellte Fragen (FAQ)