Leitfaden

Datenschutz-Grundverordnung (DSGVO)

Ein Überblick über die DSGVO, deren praxisrelevantesten Regelungen und die wichtigsten Pflichten für Unternehmen.

//OPENER (DESKTOP, TABLET)

Seit Mai 2018 ist sie in aller Munde – die neue Datenschutz-Grundverordnung (DSGVO). In diesem erhalten Sie einen Überblick über die DSGVO, die Rechtsgrundlagen der Datenverarbeitung, die wichtigsten Pflichten nach der DSGVO sowie Antworten auf häufige Fragen.

//OPENER (MOBILE)

Seit Mai 2018 ist sie in aller Munde – die neue Datenschutz-Grundverordnung (DSGVO). In diesem erhalten Sie einen Überblick über die DSGVO, die Rechtsgrundlagen der Datenverarbeitung, die wichtigsten Pflichten nach der DSGVO sowie Antworten auf häufige Fragen.

Die DSGVO im Überblick.

//ÜBERBLICK (DESKTOP, TABLET)

Nachfolgend erhalten Sie einen Überblick über die Ziele und den Anwendungsbereich, Begriffsdefinitionen sowie über die Grundsätze für die Verarbeitung personenbezogener Daten.

//ÜBERBLICK (MOBILE)

Nachfolgend erhalten Sie einen Überblick über die Ziele und den Anwendungsbereich, Begriffsdefinitionen sowie über die Grundsätze für die Verarbeitung personenbezogener Daten.

//ÜBERBLICK (DESKTOP, TABLET)

ZIELE UND ANWENDUNGSBEREICH
  Die DSGVO verfolgt das Ziel, Menschen bei der Verarbeitung von personenbezogenen Daten zu schützen und trifft außerdem Regelungen zum freien Verkehr von derartigen Daten (Art. 1 DSGVO).

  Die DSGVO gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen (Art. 2 Abs. 1 DSGVO). Keine Anwendung findet diese bei Verarbeitungen personenbezogener Daten den unter Art. 2 Abs. 2 DSGVO genannten Fällen (z.B. bei Datenverarbeitungen durch die Mitgliedstaaten im Rahmen der gemeinsamen Außen- und Sicherheitspolitik; bei Datenverarbeitungen durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten).

  Anwendung findet die DSGVO für alle Unternehmen, die in der EU niedergelassen sind, auch wenn deren Datenverarbeitung außerhalb stattfindet und umgekehrt für Unternehmen, die ihren Sitz nicht in der EU haben, aber Daten von Menschen verarbeiten, die sich in der EU befinden (Art. 3 Abs. 1 DSGVO). 
VERARBEITUNG PERSONENBEZOGENER DATEN
  Unter „personenbezogenen Daten“ fallen alle Daten, die sich auf identifizierte oder identifizierbare Menschen beziehen. „Identifizierbar“ ist eine Person dann, wenn sie durch jedwede Form von Kennung (zB Name, Standortdaten, Kennnummern, aber auch durch besondere persönliche Merkmale) identifiziert werden kann. Der Bereich der personenbezogenen Daten ist somit sehr umfangreich.
  Der Begriff „Verarbeitung“ bezeichnet jeden Vorgang, der im Zusammenhang mit personenbezogenen Daten steht, etwa das Erheben, Erfassen, Auslesen, Verwenden, Übermitteln, Verbreiten, Löschen oder Verknüpfen – egal, ob dies mit oder ohne Hilfe von automatisierten Verfahren geschieht. Erfasst sind sowohl analoge als auch digitale Verarbeitungsprozesse.
GRUNDSÄTZE FÜR DIE VERARBEITUNG PERSONENBEZOGENER DATEN
   Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und transparent („in einer für den Betroffenen nachvollziehbaren Weise“) verarbeitet werden (Art. 5 Abs. 1 lit. a DSGVO).
   Die Verarbeitung personenbezogener Daten muss zweckgebunden geschehen (Art. 5 Abs. 1 lit. b DSGVO).
   Die Verarbeitung personenbezogener Daten muss dem Zweck angemessen und auf das dazu notwendige Maß beschränkt sein (Art. 5 Abs. 1 lit. c DSGVO, "Datenminimierung").
   Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein (Art. 5 Abs. 1 lit. d DSGVO).
   Personenbezogene Daten dürfen nicht länger als für den jeweiligen Zweck erforderlich in einer Form gespeichert werden, die die Identifizierung der Person möglich macht (Art. 5 Abs. 1 lit. e DSGVO).
   Die Verarbeitung muss in einer Weise geschehen, die die angemessene Sicherheit der Daten gewährleistet (Art. 5 Abs. 1 lit. f DSGVO). Der Verantwortliche muss die Einhaltung dieser Pflichten verantworten und vor allem auch nachweisen können, d.h. er ist rechenschaftspflichtig (Art. 5 Abs. 2 DSGVO, "Integrität und Vertraulichkeit").

//ÜBERBLICK (MOBILE)

ZIELE UND ANWENDUNGSBEREICH
  Die DSGVO verfolgt das Ziel, Menschen bei der Verarbeitung von personenbezogenen Daten zu schützen und trifft außerdem Regelungen zum freien Verkehr von derartigen Daten (Art. 1 DSGVO).

  Die DSGVO gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen (Art. 2 Abs. 1 DSGVO). Keine Anwendung findet diese bei Verarbeitungen personenbezogener Daten den unter Art. 2 Abs. 2 DSGVO genannten Fällen (z.B. bei Datenverarbeitungen durch die Mitgliedstaaten im Rahmen der gemeinsamen Außen- und Sicherheitspolitik; bei Datenverarbeitungen durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten).

  Anwendung findet die DSGVO für alle Unternehmen, die in der EU niedergelassen sind, auch wenn deren Datenverarbeitung außerhalb stattfindet und umgekehrt für Unternehmen, die ihren Sitz nicht in der EU haben, aber Daten von Menschen verarbeiten, die sich in der EU befinden (Art. 3 Abs. 1 DSGVO). 
VERARBEITUNG PERSONENBEZOGENER DATEN
  Unter „personenbezogenen Daten“ fallen alle Daten, die sich auf identifizierte oder identifizierbare Menschen beziehen. „Identifizierbar“ ist eine Person dann, wenn sie durch jedwede Form von Kennung (zB Name, Standortdaten, Kennnummern, aber auch durch besondere persönliche Merkmale) identifiziert werden kann. Der Bereich der personenbezogenen Daten ist somit sehr umfangreich.
  Der Begriff „Verarbeitung“ bezeichnet jeden Vorgang, der im Zusammenhang mit personenbezogenen Daten steht, etwa das Erheben, Erfassen, Auslesen, Verwenden, Übermitteln, Verbreiten, Löschen oder Verknüpfen – egal, ob dies mit oder ohne Hilfe von automatisierten Verfahren geschieht. Erfasst sind sowohl analoge als auch digitale Verarbeitungsprozesse.
GRUNDSÄTZE FÜR DIE VERARBEITUNG PERSONENBEZOGENER DATEN
  Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und transparent („in einer für den Betroffenen nachvollziehbaren Weise“) verarbeitet werden (Art. 5 Abs. 1 lit. a DSGVO).
  Die Verarbeitung personenbezogener Daten muss zweckgebunden geschehen (Art. 5 Abs. 1 lit. b DSGVO).
   Die Verarbeitung personenbezogener Daten muss dem Zweck angemessen und auf das dazu notwendige Maß beschränkt sein (Art. 5 Abs. 1 lit. c DSGVO, "Datenminimierung").
  Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein (Art. 5 Abs. 1 lit. d DSGVO).
  Personenbezogene Daten dürfen nicht länger als für den jeweiligen Zweck erforderlich in einer Form gespeichert werden, die die Identifizierung der Person möglich macht (Art. 5 Abs. 1 lit. e DSGVO).
  Die Verarbeitung muss in einer Weise geschehen, die die angemessene Sicherheit der Daten gewährleistet (Art. 5 Abs. 1 lit. f DSGVO). Der Verantwortliche muss die Einhaltung dieser Pflichten verantworten und vor allem auch nachweisen können, d.h. er ist rechenschaftspflichtig (Art. 5 Abs. 2 DSGVO, "Integrität und Vertraulichkeit").

Rechtsgrundlagen der Datenverarbeitung.

//RECHTSGRUNDLAGEN (DESKTOP, TABLET)

Die Verarbeitung personenbezogener Daten ist nur rechtmäßig, wenn diese auf mindestens einen Erlaubnistatbestand bzw. eine Rechtsgrundlage im Sinne des Art. 6 Abs. 1 DSGVO gestützt werden kann. Demnach ist eine Verarbeitung personenbezogener Daten rechtmäßig, wenn:

//RECHTSGRUNDLAGEN (DESKTOP, TABLET)

Die Verarbeitung personenbezogener Daten ist nur rechtmäßig, wenn diese auf mindestens einen Erlaubnistatbestand bzw. eine Rechtsgrundlage im Sinne des Art. 6 Abs. 1 DSGVO gestützt werden kann. Demnach ist eine Verarbeitung personenbezogener Daten rechtmäßig, wenn:
  die betroffene Person darin eingewilligt hat (Art. 6 Abs. 1 lit. a DSGVO);
  diese für die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen, erforderlich ist, die auf Anfrage der betroffenen Person erfolgen (Art. 6 Abs. 1 lit. b DSGVO);
  diese zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt (Art. 6 Abs. 1 lit. c DSGVO);
  diese erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen (Art. 6 Abs. 1 lit. d DSGVO);
  diese für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde (Art. 6 Abs. 1 lit. e DSGVO);
  diese zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen (Art. 6 Abs. 1 lit. f DSGVO).

//RECHTSGRUNDLAGEN (MOBILE)

  die betroffene Person darin eingewilligt hat (Art. 6 Abs. 1 lit. a DSGVO);
  diese für die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen, erforderlich ist, die auf Anfrage der betroffenen Person erfolgen (Art. 6 Abs. 1 lit. b DSGVO);
  diese zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt (Art. 6 Abs. 1 lit. c DSGVO);
  diese erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen (Art. 6 Abs. 1 lit. d DSGVO);
  diese für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde (Art. 6 Abs. 1 lit. e DSGVO);
  diese zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen (Art. 6 Abs. 1 lit. f DSGVO).

Die wichtigsten Pflichten nach der DSGVO.

//PFLICHTEN (DESKTOP, TABLET)

Nachfolgend die praxisrelevantesten Regelungen der DSGVO und die wichtigsten Pflichten für Unternehmen im Überblick.

//PFLICHTEN (MOBILE)

Nachfolgend die praxisrelevantesten Regelungen der DSGVO und die wichtigsten Pflichten für Unternehmen im Überblick.

//PFLICHTEN (DESKTOP, TABLET)

DATENSCHUTZERKLÄRUNG

Der Verantwortliche muss den Betroffenen in präziser, verständlicher, transparenter und leicht zugänglicher Form sowie in klarer und einfacher Sprache – im Rahmen einer entsprechenden Datenschutzerklärung (z.B. Website, Kundendaten, Beschäftigten- und Bewerberdaten) – über folgende Informationen unterrichten (Art. 12, 13, 14 DSGVO):
  Angabe von Namen und Kontaktdaten des für die Datenerhebung Verantwortlichen sowie ggfs. seines Vertreters (Art. 13 Abs. 1 lit. a DSGVO);
  ggf. Angabe der Kontaktdaten des Datenschutzbeauftragten – sofern eine Pflicht zur Bestellung besteht (Art. 13 Abs. 1 lit. b, Art. 37 DSGVO, § 38 Abs. 1 BDSG);
  Angabe der Zwecke und der Rechtsgrundlage für jede Datenverarbeitung (Art. 13 Abs. 1 lit. c DSGVO);
  ggf. Angabe des berechtigen Interesses des Verantwortlichen oder eines Dritten, wenn die Verarbeitung auf der Rechtsgrundlage des Art. 6 Abs. 1 lit. f DSGVO beruht (Art. 13 Abs. 1 lit. d DSGVO);
  ggf. Angabe der Empfänger oder Kategorien von Empfängern der personenbezogenen Daten (Art. 13 Abs. 1 lit. e DSGVO);
  ggf. Angabe der Absicht der Übermittlung personenbezogener Daten an ein Drittland (Art. 13 Abs. 1 lit. f DSGVO);
  Angabe der voraussichtlichen Speicherdauer (Art. 13 Abs. 2 lit. a DSGVO);
 Information über die (neuen) Rechte der Betroffenen (Auskunfts- und Bestätigungs-, Berichtigungs-, Einschränkungs-, Löschung-, Datenübertragbarkeits-, Widerspruchs- und Widerrufsrecht) (Art. 13 Abs. 2 lit. b, lit. c i.V.m. Artt. 15, 21, 18, 17, 20, 21, 7 Abs. 3 DSGVO);
 Formal korrekter Hinweis auf das Widerspruchsrecht (Art. 13 Abs. 2 lit. b i.V.m. Art. 21 Abs. 4 DSGVO);
 Information über das Beschwerderecht des Betroffenen bei einer Aufsichtsbehörde (Art. 13 Abs. 2 lit. d i.V.m. Art. 77 DSGVO).

VERARBEITUNGSVERZEICHNIS

Jeder Verantwortliche (sowie jeder Auftragsverarbeiter) und ggfs. deren Vertreter müssen schriftlich (elektronisch ausreichend) ein Verzeichnis aller Verarbeitungstätigkeiten führen (Art. 30 DSGVO). Nur in Ausnahmefällen entfällt diese Pflicht gemäß Art. 30 Abs. 5 DSGVO.

Das Verzeichnis dient dem Zweck der Dokumentation aller Verarbeitungsvorgänge und sorgt damit für Transparenz - insbesondere, da das Verzeichnis auf Anfrage der Aufsichtsbehörde zur Verfügung gestellt werden muss (Art. 30 Abs. 4 DSGVO). Verarbeitungsvorgänge können z.B. Kontaktanfragen über die eigene Website, Verarbeitung von Beschäftigtendaten, Verarbeitung von Kundendaten oder Videoaufzeichnungen  sein. Eine bestimmte Form ist gesetzlich nicht vorgeschrieben. Das Verzeichnis des Verantwortlichen muss jedoch folgende Angaben enthalten (Art. 30 Abs. 1 DSGVO):
  den Namen und die Kontaktdaten des/der Verantwortlichen, seines Vertreters sowie eines etwaigen Datenschutzbeauftragten (Art. 30 Abs. 1 lit. a DSGVO);
  die Zwecke der Verarbeitung (Art. 30 Abs. 1 lit. b DSGVO);
  eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten (Art. 30 Abs. 1 lit. c DSGVO);
  die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen (Art. 30 Abs. 1 lit. d DSGVO);
  ggf. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Art. 49 Abs. 1 UAbs. 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien (Art. 30 Abs. 1 lit. e DSGVO);
  wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien (Art. 30 Abs. 1 lit. f DSGVO);
  wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 (Art. 30 Abs. 1 lit. g DSGVO)

TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN

Der Verantwortliche muss nach Art und Risiko der Datenverarbeitung geeignete technische und organisatorische Maßnahmen (sog. TOM) treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; wenn der Verantwortliche mit einem Auftragsverarbeiter zusammenarbeiten möchte, muss dieser ebenfalls garantieren können, dass er geeignete TOM durchführt, um die Anforderungen der DSGVO einzuhalten (Art. 32, 24, 25, 5 Abs. 1 lit. f DSGVO).

Dies beinhaltet nach Art. 25 DSGVO auch die Pflicht zur datenschutzfreundlichen Technikgestaltung (sog. „data protection by design“) und Voreinstellungen (sog. „data protection by default“). Die DSGVO nennt v.a. folgende Maßnahmen:
  Pseudonymisierung und Verschlüsselung personenbezogener Daten (Art. 32 Abs. 1 lit. a DSGVO);
  die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen (Art. 32 Abs. 1 lit. b DSGVO);
  die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wieder herzustellen (Art. 32 Abs. 1 lit. c DSGVO);
  ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung (Art. 32 Abs. 1 lit. d DSGVO).

BENENNUNG EINES DATENSCHUTZBEAUFTRAGTEN

Verantwortliche und Auftragsverarbeiter müssen in folgenden Fällen einen Datenschutzbeauftragten benennen:
  die Datenverarbeitung wird von einer Behörde oder öffentlichen Stelle durchgeführt, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln (Art. 37 Abs. 1 lit. a DSGVO);
  die Kerntätigkeit besteht in der Durchführung von Verarbeitungsvorgängen, die aufgrund ihrer Art, ihres Umfangs und/oder ihres Zwecks eine umfangreiche, regelmäßige und systematische Überwachung betroffener Personen mit sich bringen (Art. 37 Abs. 1 lit. b DSGVO);
  die Kerntätigkeit besteht in einer umfangreichen Verarbeitung besonders sensibler personenbezogener Daten gemäß Art. 9, 10 DSGVO (Art. 37 Abs. 1 lit. c DSGVO);
  der Verantwortliche und/oder der Auftragsverarbeiter beschäftigt in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten (Art. 37 Abs. 4 DSGVO, § 38 Abs. 1 BDSG).

VERTRAG MIT AUFTRAGSVERARBEITERN

  Sofern sich der Verantwortliche bei der Datenverarbeitung eines (rechtlich eigenständigen) Dritten bedient, der im Auftrag des Verantwortlichen und weisungsgebunden personenbezogene Daten verarbeitet (sog. Auftragsverarbeiter), hat dieser mit dem Auftragsverarbeiter einen Vertrag zu schließen, der den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind (Art. 28 Abs. 3 DSGVO).

Beispiele für Auftragsverarbeitungen sind z.B. Web-/E-Mail-Hoster, Cloud Computing Dienste, Verarbeitung von Kundendaten durch ein Call-Center ohne wesentliche eigene Entscheidungsspielräume oder Datenträgerentsorgungen).

  Durch den Vertrag zur Auftragsverarbeitung muss sichergestellt werden, dass die personenbezogenen Daten beim Auftragsverarbeiter ebenfalls DSGVO-konform verarbeitet werden. Zu diesem Zweck hat der Vertrag insbesondere die unter Art. 28 Ab. 3 lit. a bis lit. h DSGVO genannten Regelungen vorzusehen.

//PFLICHTEN (MOBILE)

DATENSCHUTZERKLÄRUNG

Der Verantwortliche muss den Betroffenen in präziser, verständlicher, transparenter und leicht zugänglicher Form sowie in klarer und einfacher Sprache – im Rahmen einer entsprechenden Datenschutzerklärung (z.B. Website, Kundendaten, Beschäftigten- und Bewerberdaten) – über folgende Informationen unterrichten (Art. 12, 13, 14 DSGVO):
  Angabe von Namen und Kontaktdaten des für die Datenerhebung Verantwortlichen sowie ggfs. seines Vertreters (Art. 13 Abs. 1 lit. a DSGVO);
  ggf. Angabe der Kontaktdaten des Datenschutzbeauftragten – sofern eine Pflicht zur Bestellung besteht (Art. 13 Abs. 1 lit. b, Art. 37 DSGVO, § 38 Abs. 1 BDSG);
  Angabe der Zwecke und der Rechtsgrundlage für jede Datenverarbeitung (Art. 13 Abs. 1 lit. c DSGVO);
  ggf. Angabe des berechtigen Interesses des Verantwortlichen oder eines Dritten, wenn die Verarbeitung auf der Rechtsgrundlage des Art. 6 Abs. 1 lit. f DSGVO beruht (Art. 13 Abs. 1 lit. d DSGVO);
  ggf. Angabe der Empfänger oder Kategorien von Empfängern der personenbezogenen Daten (Art. 13 Abs. 1 lit. e DSGVO);
  ggf. Angabe der Absicht der Übermittlung personenbezogener Daten an ein Drittland (Art. 13 Abs. 1 lit. f DSGVO);
  Angabe der voraussichtlichen Speicherdauer (Art. 13 Abs. 2 lit. a DSGVO);
 Information über die (neuen) Rechte der Betroffenen (Auskunfts- und Bestätigungs-, Berichtigungs-, Einschränkungs-, Löschung-, Datenübertragbarkeits-, Widerspruchs- und Widerrufsrecht) (Art. 13 Abs. 2 lit. b, lit. c i.V.m. Artt. 15, 21, 18, 17, 20, 21, 7 Abs. 3 DSGVO);
 Formal korrekter Hinweis auf das Widerspruchsrecht (Art. 13 Abs. 2 lit. b i.V.m. Art. 21 Abs. 4 DSGVO);
 Information über das Beschwerderecht des Betroffenen bei einer Aufsichtsbehörde (Art. 13 Abs. 2 lit. d i.V.m. Art. 77 DSGVO).

VERARBEITUNGSVERZEICHNIS

Jeder Verantwortliche (sowie jeder Auftragsverarbeiter) und ggfs. deren Vertreter müssen schriftlich (elektronisch ausreichend) ein Verzeichnis aller Verarbeitungstätigkeiten führen (Art. 30 DSGVO). Nur in Ausnahmefällen entfällt diese Pflicht gemäß Art. 30 Abs. 5 DSGVO).

Das Verzeichnis dient dem Zweck der Dokumentation aller Verarbeitungsvorgänge und sorgt damit für Transparenz - insbesondere, da das Verzeichnis auf Anfrage der Aufsichtsbehörde zur Verfügung gestellt werden muss (Art. 30 Abs. 4 DSGVO). Verarbeitungsvorgänge können z.B. Kontaktanfragen über die eigene Website, Verarbeitung von Beschäftigtendaten, Verarbeitung von Kundendaten oder Videoaufzeichnungen  sein. Eine bestimmte Form ist gesetzlich nicht vorgeschrieben. Das Verzeichnis des Verantwortlichen muss jedoch folgende Angaben enthalten (Art. 30 Abs. 1 DSGVO):
  den Namen und die Kontaktdaten des/der Verantwortlichen, seines Vertreters sowie eines etwaigen Datenschutzbeauftragten (Art. 30 Abs. 1 lit. a DSGVO);
  die Zwecke der Verarbeitung (Art. 30 Abs. 1 lit. b DSGVO);
  eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten (Art. 30 Abs. 1 lit. c DSGVO);
  die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen (Art. 30 Abs. 1 lit. d DSGVO);
  ggf. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Art. 49 Abs. 1 UAbs. 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien (Art. 30 Abs. 1 lit. e DSGVO);
  wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien (Art. 30 Abs. 1 lit. f DSGVO);
  wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 (Art. 30 Abs. 1 lit. g DSGVO)

TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN

Der Verantwortliche muss nach Art und Risiko der Datenverarbeitung geeignete technische und organisatorische Maßnahmen (sog. TOM) treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; wenn der Verantwortliche mit einem Auftragsverarbeiter zusammenarbeiten möchte, muss dieser ebenfalls garantieren können, dass er geeignete TOM durchführt, um die Anforderungen der DSGVO einzuhalten (Art. 32, 24, 25, 5 Abs. 1 lit. f DSGVO).

Dies beinhaltet nach Art. 25 DSGVO auch die Pflicht zur datenschutzfreundlichen Technikgestaltung (sog. „data protection by design“) und Voreinstellungen (sog. „data protection by default“). Die DSGVO nennt v.a. folgende Maßnahmen:
  Pseudonymisierung und Verschlüsselung personenbezogener Daten (Art. 32 Abs. 1 lit. a DSGVO);
  die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen (Art. 32 Abs. 1 lit. b DSGVO);
  die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wieder herzustellen (Art. 32 Abs. 1 lit. c DSGVO);
  ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung (Art. 32 Abs. 1 lit. d DSGVO).

BENENNUNG EINES DATENSCHUTZBEAUFTRAGTEN

Verantwortliche und Auftragsverarbeiter müssen in folgenden Fällen einen Datenschutzbeauftragten benennen:
  die Datenverarbeitung wird von einer Behörde oder öffentlichen Stelle durchgeführt, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln (Art. 37 Abs. 1 lit. a DSGVO);
  die Kerntätigkeit besteht in der Durchführung von Verarbeitungsvorgängen, die aufgrund ihrer Art, ihres Umfangs und/oder ihres Zwecks eine umfangreiche, regelmäßige und systematische Überwachung betroffener Personen mit sich bringen (Art. 37 Abs. 1 lit. b DSGVO);
  die Kerntätigkeit besteht in einer umfangreichen Verarbeitung besonders sensibler personenbezogener Daten gemäß Art. 9, 10 DSGVO (Art. 37 Abs. 1 lit. c DSGVO);
  der Verantwortliche und/oder der Auftragsverarbeiter beschäftigt in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten (Art. 37 Abs. 4 DSGVO, § 38 Abs. 1 BDSG).

VERTRAG MIT AUFTRAGSVERARBEITERN

  Sofern sich der Verantwortliche bei der Datenverarbeitung eines (rechtlich eigenständigen) Dritten bedient, der im Auftrag des Verantwortlichen und weisungsgebunden personenbezogene Daten verarbeitet (sog. Auftragsverarbeiter), hat dieser mit dem Auftragsverarbeiter einen Vertrag zu schließen, der den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind (Art. 28 Abs. 3 DSGVO).

Beispiele für Auftragsverarbeitungen sind z.B. Web-/E-Mail-Hoster, Cloud Computing Dienste, Verarbeitung von Kundendaten durch ein Call-Center ohne wesentliche eigene Entscheidungsspielräume oder Datenträgerentsorgungen).

  Durch den Vertrag zur Auftragsverarbeitung muss sichergestellt werden, dass die personenbezogenen Daten beim Auftragsverarbeiter ebenfalls DSGVO-konform verarbeitet werden. Zu diesem Zweck hat der Vertrag insbesondere die unter Art. 28 Ab. 3 lit. a bis lit. h DSGVO genannten Regelungen vorzusehen.

Häufige Fragen.

//FAQ (DESKTOP, TABLET)

Abschließend finden Sie Antworten auf häufige Fragen unserer Mandanten.

//FAQ (MOBILE)

Abschließend finden Sie Antworten auf häufige Fragen unserer Mandanten.
In welchem Verhältnis stehen die Regelungen der DSGVO zu den Vorgaben des BDSG?
Die DSGVO als EU-Verdordnung genießt gegenüber dem nationalen Bundesdatenschutzgesetz (BDSG) Anwendungsvorrang. Neben den Regelungen der DSGVO sind punktuell ergänzend auch die nationalen Regelungen anzuwenden, aber DSGVO-konform auszulegen.
Wie werden Einwilligung im Internet (z.B. für eine Newsletter-Anmeldung) wirksam eingeholt?
Eine Einwilligung ist jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung (Art. 4 Nr. 11 DSGVO). Eine bestimmte Form für die Einwilligung ist nicht vorgeschrieben. Erforderlich ist jedoch eine eindeutig bestätigende Handlung des Einwilligenden; Stillschweigen bzw. Untätigkeit oder vorangekreuzte Checkboxen stellen daher keine wirksame Einwilligung dar. Zudem ist die betroffene Person vor Abgabe der Einwilligung über das ihr zustehende Widerrufsrecht in Kenntnis zu setzen (Art. 7 Abs. 3 DSGVO).

Da der Verantwortliche im Zweifelsfall nachweisen muss, dass die betroffene Person in die Datenverarbeitung eingewilligt hat (Art. 7 Abs. 1 DSGVO), empfiehlt sich die Durchführung des Double-Opt-in-Verfahrens. Das bedeutet, dass nach erfolgter Newsletter-Anmeldung zunächst eine Bestätigungs-E-Mail mit einem Aktivierungslink an die angegebene E-Mail-Adresse verschickt wird; nur so kann verhindert werden, dass Dritte unbefugt andere Personen für Ihren Newsletter anmelden.

Beachten Sie, dass die Bestätigungs-E-Mail absolut werbefrei gestaltet sein muss. Zudem muss auch diese Bestätigungs-E-Mail den Einwilligungstext (s.o.) beinhalten; sofern ein Dritter die Anmeldung unter Verwendung einer fremden E-Mail-Adresse vorgenommen haben sollte, wird der Empfänger davon in Kenntnis gesetzt; diesem steht dann weiterhin die Möglichkeit offen – durch Anklicken des Aktivierungslinks – wirksam einzuwilligen. Erst nachdem der Kunde den Aktivierungslink innerhalb von 24 Stunden angeklickt hat, wurde die Einwilligung des Kunden wirksam eingeholt. Die Einwilligung ist entsprechend zu dokumentieren (Verwendeter Einwilligungstext, Uhrzeit und Datum der Einwilligung). 
Gelten Alt-Einwilligungen (vor DSGVO) fort oder müssen diese erneut eingeholt werden?
Das kommt darauf an, ob die (vor Geltung der DSGVO) bereits eingeholten Einwilligungen den Anforderungen der DSGVO genügen. Nur wenn dies der Fall ist, stellen sich die bereits eingeholten Einwilligungen nach aktueller Rechtslage als wirksam dar (siehe auch Erwägungsgrund 171 zur DSGVO).

In diesem Zusammenhang sollten die Einwilligungstexte also eingehend geprüft werden (z.B. im Hinblick auf den Hinweis zum Widerrufsrecht, die Maßstäbe bzgl. der Freiwilligkeit sowie die Besonderheiten bei einer Einwilligung durch ein Kind). Sollte die Prüfung ergeben, dass die Einwilligungstexte nach aktueller Rechtslage unzureichend waren, müssten (erneut) wirksame Einwilligungen eingeholt werden.

Welche Strafen bzw. Bußgelder drohen bei Verstößen gegen die DSGVO?
Bei Verstößen gegen die Vorgaben der DSGVO (oder bei Nichtbefolgung einer Anweisung der Aufsichtsbehörde) drohen dem Betreiber der Website hohe Bußgelder von bis zu 20 Mio. EUR oder – je nachdem, was davon höher ist – bis zu 4% des weltweiten letztjährig erzielten Jahresumsatzes (Art. 83 DSGVO).

Daneben wird mit einer Freiheitsstrafe von bis zu drei Jahren oder mit Geldstrafe bestraft, wer wissentlich nicht allgemein zugängliche personenbezogene Daten einer großen Zahl von Personen, ohne hierzu berechtigt zu sein, einem Drittem übermittelt oder auf andere Art und Weise zugänglich macht und dabei gewerbsmäßig handelt (§ 42 Abs. 1 BDSG). Mit einer Freiheitsstrafe von bis zu zwei Jahren oder mit Geldstrafe wird bestraft, wer personenbezogene Daten, die nicht allgemein zugänglich sind, ohne hierzu berechtigt zu sein, verarbeitet oder durch unrichtige Angaben erschleicht und hierbei gegen Entgelt oder in der Absicht handelt, sich oder einen anderen zu bereichern oder einen anderen zu schädigen (§ 42 Abs. 2 BDSG).

Eine Auswahl bereits ergangener behördlicher Bußgelder wegen DSGVO-Verstößen finden Sie in unserer Übersicht: Bußgelder wegen DSGVO-Verstößen.

Sie benötigen datenschutzrechtliche Beratung?

//KONTAKT (DESKTOP, TABLET)

Kontaktieren Sie uns schnell und einfach über unser Kontaktformular.

//KONTAKT (MOBILE)

Kontaktieren Sie uns schnell und einfach über unser Kontaktformular.