Datenschutz Grundlagen

Datenschutz schützt die Persönlichkeitsrechte der Menschen – keine Daten.

Die Datenschutz-Grundverordnung (DSGVO) ist die erste EU-weite Verordnung zum Datenschutz. Sie  wird in ihren Öffnungsklausen mit nationalen Gesetzen ergänzt und gilt in der EU und dem Europäischen Wirtschaftsraum. Seit Beschluss des EU Parlaments und Rates zur Verordnung 2016/679 vom 27.04.2016 besteht eine Übergangsfrist bis zum Wirksamwerden der DSGVO zum 25.05.2018.

Das Bundesdatenschutz-Gesetz (BDSG) ist ein nationales Gesetz, das in Deutschland bis zum Wirksamwerden der DSGVO im Mai 2018 übergeordnet in Ergänzung von Spezialgesetzen (z. B. Telekommunikationsgesetz), den Umgang mit personenbezogenen Daten regelt. Im Juli 2017 wurde das BDSG angepasst, um als aktualisiertes BDSG (neu) Punkte der Öffnungsklauseln aus der dann übergeordneten DSGVO ab dem 25.05.2018 zu regeln.

Personenbezogene Daten (gemäß Art. 4 DSGVO) sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

Verantwortlicher (gemäß Art. 4 DSGVO) ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Auftragsverarbeiter (gemäß Art. 4 DSGVO) ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Eine Auftragsdatenverarbeitung (kurz: "ADV") besteht bei einer weisungsgebundenen Verarbeitung personenbezogener Daten im Auftrag eines Verantwortlichen gegenüber dem Auftragsverarbeiter.

In einem ADV-Vertrag (Auftragsdatenverarbeitungs-Vertrag) müssen Auftraggeber (Verantwortlicher) und Auftragnehmer (Auftragsverarbeiter) folgende Punkte nach Art. 28 Abs. 3 DSGVO vereinbaren:

Gegenstand und Dauer der Verarbeitung; Art und Zweck der Verarbeitung; Art der personenbezogenen Daten & Kategorien von betroffenen Personen; Umfang der Weisungsbefugnisse; Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit;     Sicherstellung von technischen & organisatorischen Maßnahmen; Hinzuziehung von Subunternehmern; Unterstützung des für die Verarbeitung Verantwortlichen bei Anfragen und Ansprüchen Betroffener; Unterstützung des für die Verarbeitung Verantwortlichen bei der Meldepflicht bei Datenschutzverletzungen; Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsdatenverarbeitung; Kontrollrechte des für die Verarbeitung Verantwortlichen und Duldungspflichten des Auftragsverarbeiters; Pflicht des Auftragsverarbeiters, den Verantwortlichen zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt. Entgegen früherer Regelungen sind nun Verantwortlicher und Auftragsverarbeiter haftbar.

EU und EWR (Europäischer Wirtschaftsraum) sind der Wirkungsraum der Datenschutz-Grundverordnung. In diesen Ländern besteht durch die DSGVO ein vergleichbares, hohes Datenschutzniveau. Zur EU und dem ERW gehören: Belgien, Bulgarien, Dänemark, Deutschland, Estland, Finnland, Frankreich, Griechenland, Irland, Italien, Kroatien, Lettland, Litauen, Luxemburg, Malta, Niederlande, Österreich, Polen, Portugal, Rumänien, Schweden, Slowakei, Slowenien, Spanien, Tschechische Repubik, Ungarn, Zypern. Bis zum Wirksamwerden des "Brexit" auch das Vereinigte Königreich.

Unsichere Drittländer/ Drittstaaten sind Länder in denen kein angemessenes Datenschutzniveau herrscht: Länder außerhalb der EU und dem Europäischen Wirtschaftsraum (z. B. USA, China, Russland, Japan, Türkei, Indien).

Sichere Drittländer/ Drittstaaten mit von der EU-Kommission anerkanntem hohen Datenschutzniveau sind: Andorra, Argentinien, Australien, Färöer, Guernsey, Isle of Man, Israel, Jersey, Kanada, Neuseeland, Schweiz, Uruguay

Empfänger (gemäß Art. 4 DSGVO) ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, denen personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht.

Dritter (gemäß Art. 4 DSGVO) ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.

Einwilligung (gemäß Art. 4 DSGVO) der betroffenen Person ist jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Das Verzeichnis der Verarbeitungstätigkeiten, umgangssprachlich auch Verfahrensverzeichnis benannt, enthält alle Verfahren eines Unternehmens/ Vereines o. ä., die personenbezogene Daten verarbeiten. Zu jedem dieser Verfahren ist anzugeben: Name und Kontaktdaten des Verantwortlichen, Zweck der Verarbeitung, Kategorien betroffener Personen und Daten, Empfängerkategorien, ggf. Übermittlungen an Drittländer oder internationale Organisationen, möglichst Löschfristen der Daten sowie soweit möglich die technisch organisatorischen Maßnahmen.

Technisch Organisatorische Maßnahmen (kurz: "TOM") sind (gemäß Art. 32 DSGVO) technische und organisatorischen Maßnahmen die ergriffen werden müssen, um die Schutzziele herzustellen: Pseudonymisierung und Verschlüsselung der personenbezogenen Daten; Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Dies erfolgt durch Klärung der Punkte: Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle, Trennungskontrolle.