Datenschutz für Einsteiger

Häufig gestellte Fragen (FAQ)

• Für wen gilt die DS-GVO?

  Die Datenschutz-Grundverordnung gilt für alle Unternehmen, Freiberufler und Selbständige Behörden, Vereine oder sonstige Institutionen und Einrichtungen innerhalb der Europäischen Union, wenn im Rahmen ihrer Tätigkeit personenbezogene Daten verarbeitet werden.

  Gleichermaßen gilt Sie auch, wenn die Verarbeitung personenbezogener Daten an einem Ort außerhalb der Europäischen Union stattfindet, der dem Recht eines EU-Mitgliedsstaats unterliegt (z.B. Botschaften, Konsulate, unter Umständen auch Flugzeuge und Schiffe).

  Darüber hinaus gilt sie auch, wenn die Datenverarbeitung in Zusammenhang damit steht, dass Personen innerhalb der EU Waren oder Dienstleistungen angeboten werden – unabhängig davon ob diese dafür Zahlungen leisten müssen – oder dass das Verhalten von Personen beobachtet wird, wenn dieses innerhalb der Union erfolgt. In diesem Fall ist es unerheblich, ob der Datenverarbeiter innerhalb der EU niedergelassen ist.

  In allen diesen Konstellationen muss die Verarbeitung dabei entweder zumindest teilweise automatisiert erfolgen oder im Fall einer nichtautomatisierten Verarbeitung die Daten in einer strukturierten Form der Ablage gespeichert werden oder gespeichert werden sollen.

  Ausnahmen, in denen die DS-GVO nicht gilt, bestehen, wenn Daten durch einzelne Personen ausschließlich nur zur Ausübung persönlicher oder familiärer Tätigkeiten verarbeitet werden oder im Rahmen der Tätigkeit von Behörden im Zusammenhang mit der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straften zur Strafvollstreckung und der Sicherstellung der öffentlichen Sicherheit

• Für wen gilt das Bundesdatenschutzgesetz?

  Das BDSG gilt für öffentliche Stellen des Bundes und der Länder, also z.B. Behörden und Ämter, sowie für nichtöffentliche Stellen, wie Unternehmen, Vereine oder sonstige privatrechtliche Institutionen.

  Bei nichtöffentlichen, also privatrechtlichen, Stellen gilt das BDSG, wenn die Daten innerhalb Deutschlands oder im Rahmen der Tätigkeiten einer inländischen Niederlassung verarbeitet werden.

  Die für die Anwendbarkeit der DS‑GVO geltende Ausnahme für einzelne Personen, die Daten ausschließlich nur zu Ausübung persönlicher oder familiärer Tätigkeiten verarbeiten, gilt auch für das Bundesdatenschutzgesetz.

• Wer kontrolliert Unternehmen bei der Einhaltung der Datenschutzanforderungen?

  Zuständig für die Kontrolle der Einhaltung datenschutzrechtlicher Vorgaben durch Unternehmen sind je nach deren Standort in der Regel die Landesdatenschutz-aufsichtsbehörden. Sofern das Unternehmen Post- oder Telekommunikationsdienstleistungen erbringt, ergibt sich aus dem Bundesdatenschutzgesetz, dem Telekommunikationsgesetz bzw. dem Postgesetz die Zuständigkeit des Bundesdatenschutzbeauftragten. Dazu kann es aus weiteren Spezialgesetzen auch Kontroll- und Überwachungsbefugnisse für andere Behörden geben. Innerhalb von Unternehmen erfüllt ein gegebenenfalls benannter Datenschutzbeauftragter zusätzlich noch eine Überwachungsaufgabe.

• Muss ich in einem Unternehmen einen Datenschutzbeauftragten benennen?

  Gemäß Datenschutz-Grundverordnung müssen Unternehmen immer dann einen Datenschutzbeauftragten benennen, wenn deren Haupttätigkeiten die umfangreiche und regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen oder wenn deren Haupttätigkeit in der umfangreichen Verarbeitung sensibler Datenkategorien, der so genannten besonderen Kategorien personenbezogener Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten besteht. Weiterhin besteht eine Pflicht zur Benennung eines Datenschutzbeauftragten nach Bundesdatenschutzgesetz für Unternehmen, die in der Regel mehr als 20 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Auch für Unternehmen, die eine Datenschutz-Folgenabschätzung durchführen müssen oder die Daten zu Zwecken der Markt- und Meinungsforschung oder geschäftsmäßig zum Zweck der, auch anonymisierten, Übermittlung verarbeiten besteht nach BDSG die Pflicht einen Datenschutzbeauftragten zu benennen.

• Wer kann Datenschutzbeauftragter werden?

  Datenschutzbeauftragter kann jede Person werden, die über die für die jeweiligen Unternehmen erforderliche berufliche Qualifikation und Fachkunde im Bereich des Datenschutzrechts und der Datenschutzpraxis verfügt, die die in der DS-GVO vorgegebenen Aufgaben eines Datenschutzbeauftragten erfüllen kann und die keinem Interessenskonflikt unterliegt. Einen Interessenskonflikt sehen die Aufsichtsbehörden z.B. in der Rolle von Personen, die über die Zwecke und Mittel einer Verarbeitung personenbezogener Daten entscheiden, wie etwa Geschäftsführern, Medizinischen Leitern, Finanzvorständen, sonstigen Angehörigen des leitenden Managements, insbesondere beim Leiter der Marketing-, Personal- oder IT-Abteilung. Auch Personen, die das Unternehmen in datenschutzbezogenen Rechtssachen vor Gericht vertreten unterliegen einem Interessenskonflikt. Manche Aufsichtsbehörden sehen auch in der Rolle eines Informationssicherheitsbeauftragten einen Interessenskonflikt oder wenn aus anderen Gründen eine unabhängig und objektive Arbeit des Datenschutzbeauftragten zweifelhaft erscheint, z.B. wenn wirtschaftliche Interessen am Unternehmenserfolg bestehen, wie z.B. bei Gesellschaftern.

• Welche Hauptaufgaben hat der Datenschutzbeauftragte?

  Der gesetzlich festgelegte Aufgabenbereich des Datenschutzbeauftragten besteht in der Unterrichtung und Beratung des Verantwortlichen, des Auftragsverarbeiters und deren an der Verarbeitung personenbezogener Daten Beschäftigten über datenschutzrechtliche Vorgaben, in der Überwachung dieser Vorgaben, insbesondere der Überwachung der Durchführung der Datenschutz-Folgenabschätzung, sowie der Zusammenarbeit mit Aufsichtsbehörde und als Anlaufstelle für die Aufsichtsbehörde. Weiterhin ist der Datenschutzbeauftragte nach Bundesdatenschutzgesetz auch Ansprechpartner für betroffene Personen, wenn diese Fragen zur Verarbeitung Ihrer personenbezogenen Daten haben. Über die gesetzlich vorgegebenen Aufgaben hinaus, kann der Datenschutzbeauftragte auch weitere Aufgaben übertragen bekommen, sofern dies im Rahmen der Benennung vereinbart wurde, nicht zu einem Interessenskonflikt führt und auch dessen Weisungsfreiheit nicht gefährdet.

• Brauche ich eine Datenschutzerklärung auf meiner Webseite?

  Im Rahmen des Betriebs einer Webseite werden in jedem Fall personenbezogene Daten verarbeitet. Zumindest die Bereitstellung von Webinhalten macht es erforderlich Anschlussdaten des Webseiten-Besuchers und weitere Informationen im Rahmen der Anfrage zu verarbeiten, die zu den personenbezogenen Daten zählen. Darüber hinaus können je nach Inhalt der Datenschutzerklärungen weitere Verarbeitungen personenbezogener Daten stattfinden, wie etwa mit einem Kontaktformular, einer Newsletteranmeldung, der Einbindung von Social Media Inhalten oder von Tracking- und Analysewerkzeugen, aber auch weitere Funktionen insbesondere Cookies. Für jede Verarbeitung personenbezogener Daten besteht gemäß Artikel 13 oder Artikel 14 DS GVO eine Informationspflicht um dem Transparenzgrundsatz der Datenschutz-Grundverordnung gerecht zu werden. Eine Datenschutzerklärung erfüllt unter anderem den Zweck diese Informationspflicht zu erfüllen und ist daher für jede Webseite erforderlich.

• Was ist eine Datenschutz-Folgenabschätzung?

  Eine Datenschutz-Folgenabschätzung ist ein Prozess, der für jede Verarbeitung personenbezogener Daten durchgeführt werden muss, sofern diese Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Pflichten natürlicher Personen zur Folge hat. Sie ist vor der Inbetriebnahme der Verarbeitung durchzuführen und dient der systematischen Analyse der geplanten Verarbeitung um das dadurch möglicherweise entstehende Risiko zu identifizieren, zu bewerten und geeignete Abhilfemaßnahmen auszuwählen, um dieses hohe Risiko auf höchstens ein normales Risiko zu reduzieren bevor es überhaupt zu einem durch das Risiko verursachten Schaden kommen kann. Zur Feststellung ob voraussichtlich ein hohes Risiko durch eine Verarbeitung entstehen kann, benennt die DS-GVO einerseits sehr konkrete Kriterien, aber auch etwas unspezifische Faktoren. Darüber hinaus haben die Aufsichtsbehörden eine Liste von Verarbeitungen erstellt, für die zwingend eine Datenschutz-Folgenabschätzung durchgeführt werden muss und es existieren weiterhin in anderen europäischen Ländern auch Listen mit Verarbeitungen, für die keine Datenschutz-Folgenabschätzung erforderlich ist. Die Durchführung der Datenschutz-Folgenabschätzung ist in einem Bericht umfangreich zu dokumentieren, wobei mindestens die in der DS-GVO geforderten Inhalte enthalten sein müssen.

• Was ist ein Verzeichnis von Verarbeitungstätigkeiten?

  Eine Datenschutz-Folgenabschätzung ist ein Prozess, der für jede Verarbeitung personenbezogener Daten durchgeführt werden muss, sofern diese Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Pflichten natürlicher Personen zur Folge hat. Sie ist vor der Inbetriebnahme der Verarbeitung durchzuführen und dient der systematischen Analyse der geplanten Verarbeitung um das dadurch möglicherweise entstehende Risiko zu identifizieren, zu bewerten und geeignete Abhilfemaßnahmen auszuwählen, um dieses hohe Risiko auf höchstens ein normales Risiko zu reduzieren bevor es überhaupt zu einem durch das Risiko verursachten Schaden kommen kann. Zur Feststellung ob voraussichtlich ein hohes Risiko durch eine Verarbeitung entstehen kann, benennt die DS-GVO einerseits sehr konkrete Kriterien, aber auch etwas unspezifische Faktoren. Darüber hinaus haben die Aufsichtsbehörden eine Liste von Verarbeitungen erstellt, für die zwingend eine Datenschutz-Folgenabschätzung durchgeführt werden muss und es existieren weiterhin in anderen europäischen Ländern auch Listen mit Verarbeitungen, für die keine Datenschutz-Folgenabschätzung erforderlich ist. Die Durchführung der Datenschutz-Folgenabschätzung ist in einem Bericht umfangreich zu dokumentieren, wobei mindestens die in der DS-GVO geforderten Inhalte enthalten sein müssen.

• Wann liegt eine Auftragungsverarbeitung vor? Was ist dann zu tun?

  Eine Auftragsverarbeitung liegt immer dann vor, wenn ein Dienstleister die Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen durchführt und dabei weder die Zwecke noch die Mittel der Verarbeitung selbst festlegt, noch durch EU-Recht oder nationales Recht des jeweiligen Mitgliedsstaats zum Verantwortlichen wird. Im Rahmen einer Auftragsverarbeitung unterliegt der Auftragsverarbeiter den Weisungen des Verantwortlichen. Diese sind zu dokumentieren. Weiterhin darf die Auftragsverarbeitung nur auf Basis eines Vertrags oder eines anderen Rechtsinstruments, nach EU- oder nationalem Recht, erfolgen, für das die DS-GVO verpflichtende Vorgaben bezüglich der damit getroffenen Regelungen macht.

• Wann wird eine Einwilligung in die Verarbeitung personenbezogener Daten benötigt?

  Die Einwilligung der betroffenen Person kann dann als Rechtsgrundlage verwendet werden, wenn die Verarbeitung personenbezogener Daten nicht auf eine andere Rechtsgrundlage des Artikel 6 DS GVO, im Fall sensibler Daten (besonderer Kategorien personenbezogener Daten) des Artikel 9 Absatz 2 DS GVO, gestützt werden kann, z.B. wenn keine Erforderlichkeit der Verarbeitung der konkreten Verarbeitung festgestellt werden kann. Weiterhin kann die Einwilligung zur Legitimation einer automatisierten Entscheidungsfindung oder einer Übermittlung von Daten an einen Empfänger in einem Land außerhalb der EU oder des EWR, für das weder ein Angemessenheitsbeschluss besteht und die auch nicht auf geeignete Garantien gestützt werden kann, Anwendung finden. Eine Einwilligung kann auch dann als Rechtsgrundlage verwendet werden, wenn die berechtigten Interessen des Verantwortlichen oder die von diesem mit der Verarbeitung verfolgten Interessen eines Dritten nicht ausreichen um die Interessen, Grundrechte oder Grundfreiheiten der betroffenen Personen am Schutz Ihrer personenbezogenen Daten zu überwiegen.

• Muss ich alle E-Mails verschlüsseln?

  Die Datenschutz-Grundverordnung fordert die Einhaltung eines dem Risiko, welches durch die Verarbeitung für betroffenen Personen entsteht, angemessenes Schutzniveau durch das Ergreifen geeigneter Maßnahmen. Dabei ist auch der aktuelle Stand der Technik einzuhalten. Für die Verschlüsselung von E-Mails bedeutet das, dass aus Sicht der deutschen Aufsichtsbehörden für den Datenschutz die Kommunikation zwischen am Versand beteiligten Mailservern verschlüsselt stattfinden muss, da dies mittlerweile als Stand der Technik angesehen wird. Hier spricht man von einer so genannten Transport- oder Kanalverschlüsselung, bei der jedoch die E-Mails auf den beteiligten Mailservern weiterhin unverschlüsselt vorliegen. Demgegenüber steht die so genannte Ende-zu-Ende-Verschlüsselung bei der der Absender die E-Mail so verschlüsselt, dass nur der berechtigte Empfänger diese entschlüsseln kann.
  Die Notwendigkeit bzw. Pflicht zu einer Ende-zu-Ende-Verschlüsselung besteht nur dann, wenn aufgrund der Art bzw. Sensibilität der übermittelten Daten ein entsprechend hohes Schutzniveau erforderlich ist. Dies wäre zum Beispiel bei der Übermittlung von medizinischen Daten der Fall.

• Wie lange darf ich Bewerberdaten aufbewahren?

  Grundsätzlich sind personenbezogene Daten, also auch Bewerberdaten, unverzüglich zu löschen, wenn diese für die Zweckerreichung nicht mehr erforderlich sind.Im Fall von Bewerberdaten muss zwischen Initiativbewerbungen und Bewerbungen auf eine Stellenausschreibung unterschieden werden.
  Bei einer Initiativbewerbung ist der Zweck der Verarbeitung mit der Entscheidung über die mögliche Anstellung oder eben die Ablehnung des Bewerbers und der Mitteilung dieser Entscheidung an den Bewerber erfüllt. Bei einer Bewerbung auf eine ausgeschriebene Stelle ist der Zweck grundsätzlich spätestens mit der Besetzung der Stelle erfüllt. D.h. in beiden Fällen wären die Bewerberdaten zu löschen. Allerdings können die personenbezogenen Daten von Bewerbern auch zu weiteren Zwecken gespeichert werden, wenn diese Verarbeitung rechtmäßig und mit einer Rechtsgrundlage erfolgt. Ein solcher Zweck könnte in einer weiterführenden Aufbewahrung der Bewerberdaten im Rahmen einer Stellenausschreibung liegen, mit der das berechtigte Interesse verfolgt wird , sich gegen Rechtsansprüche abgelehnter Bewerber abzusichern, die diese nach dem Allgemeinen Gleichstellungs- und Gleichbehandlungsgesetz (AGG) geltend machen könnten. Aufgrund der durch dieses Gesetz und weiterer rechtlicher Vorgaben festgelegter Fristen hat sich in der datenschutzrechtlichen Praxis eine Aufbewahrungsdauer von bis zu 6 Monaten nach der Besetzung der ausgeschriebenen Stelle bewährt. Diese weiterführende Dauer kann jedoch, aufgrund der fehlenden Anwendbarkeit des AGG, nicht für Initiativbewerbungen geltend gemacht werden. Ein weiterer Zweck kann die Aufnahme des Bewerbers mit seinen Daten in einen Bewerberpool darstellen. Für diese Zweck ist aus Sicht der deutschen Aufsichtsbehörden für den Datenschutz jedoch eine Einwilligung des Bewerbers erforderlich.

• Wann und wie sind Datenpannen zu melden?

  Sofern es sich bei der Datenpanne um eine Datenschutzverletzung im Sinne der DS-GVO handelt, es also durch die Panne zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von personenbezogenen Daten oder zum unbefugten Zugang zu personenbezogenen Daten gekommen ist und diese Verletzung zu einem Risiko für die Rechte und Freiheiten der betroffenen Person führt oder führen kann, besteht eine Meldepflicht gegenüber der zuständigen Aufsichtsbehörde. Die deutschen Aufsichtsbehörden für den Datenschutz stellen hierzu auf Ihren Webseiten Meldeformulare bereit, aber auch eine telefonische Meldung oder eine Meldung per Fax sind möglich. Die Meldung hat unverzüglich ab Kenntnis von der Datenschutzverletzung zu erfolgen und sollte gemäß DS-GVO möglichst binnen von 72 Stunden erfolgen. Die deutschen Aufsichtsbehörden setzen eine Meldung in jedem Fall binnen 72 Stunden voraus. Sofern nicht alle zu meldenden Informationen vorliegen, dann soll zumindest eine Teilmeldung erfolgen und die fehlenden Informationen nachträglich mitgeteilt werden. Sofern das (mögliche) Risiko für die betroffenen Personen durch die Verletzung voraussichtlich hoch ist besteht zusätzlich eine unverzügliche Benachrichtigungspflicht gegenüber den betroffenen Personen.

• Was passiert bei Verstößen gegen die DSGVO?

  Bei Verstößen gegen die Vorgaben der Datenschutz-Grundverordnung kann die zuständige Aufsichtsbehörde von Ihren Abhilfebefugnissen Gebrauch machen. Dazu gehört auch die Möglichkeit, dass diese die Einstellung der Verarbeitung anordnet, also verbietet, dass diese weiter durchgeführt wird. Weiterhin kann die Aufsichtsbehörde auch eine Geldbuße verhängen und sogar die Einleitung eines Strafverfahrens beantragen, welches wiederum zu einer Freiheitsstrafe führen kann. Darüber hinaus können betroffene Personen auch Schadensersatz für Ihnen durch den Verstoß entstandene materielle, aber auch immaterielle Schäden fordern.

• Gibt es verpflichtende Datenschutz-Audits?

  Weder die DS-GVO noch das BDSG sehen eine Pflicht für Datenschutz-Audits vor. Ein in der Vergangenheit geplantes Datenschutzaudit-Gesetz wurde nicht abschließend beschlossen. Davon abzugrenzen ist jedoch die in der Datenschutz-Grundverordnung vorgeschriebene Pflicht ein Verfahren zu etablieren, mit dem die Wirksamkeit technischer und organisatorischer Maßnahmen, mit denen die Sicherheit der Verarbeitung gewährleistet wird, regelmäßig überprüft, bewertet und evaluiert wird. Ebenso besteht eine Pflicht zur Überprüfung von Verarbeitungen für die eine Datenschutz-Folgenabschätzung durchgeführt wurde, um zu bewerten, ob diese Verarbeitungen entsprechend der dabei festgelegten und ermittelten Umsetzungsvorgaben durchgeführt werden. Derartige interne Überprüfungen können in Form interner Audits oder auch externer durchgeführt werden. Aus anderen Gesetzen oder aus Normen kann jedoch eine Pflicht zu einer externen Auditierung bestehen.