Rechtliche Regelungen zum Datenschutz
Einführung in die Datenschutzgesetze
Datenschutz-Grundverordnung (DSGVO):
Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, die den Schutz personenbezogener Daten und den freien Datenverkehr innerhalb des Europäischen Wirtschaftsraums regelt. Sie gilt seit dem 25. Mai 2018 und hat die Datenschutzgesetze der EU-Mitgliedstaaten harmonisiert.
Bundesdatenschutzgesetz (BDSG):
Das Bundesdatenschutzgesetz (BDSG) ergänzt die DSGVO in Deutschland und enthält spezifische nationale Regelungen. Es regelt unter anderem die Aufgaben und Befugnisse der Datenschutzaufsichtsbehörden sowie den Beschäftigtendatenschutz.
Grundprinzipien der DSGVO
Die DSGVO basiert auf mehreren Grundprinzipien, die den Umgang mit personenbezogenen Daten regeln:
| Prinzip | Beschreibung |
|---|---|
| Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz | Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. |
| Zweckbindung | Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverarbeitet werden. |
| Datenminimierung | Es dürfen nur so viele Daten erhoben und verarbeitet werden, wie für den jeweiligen Zweck notwendig sind. |
| Richtigkeit | Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. |
| Speicherbegrenzung | Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. |
| Integrität und Vertraulichkeit | Daten müssen durch geeignete technische und organisatorische Maßnahmen vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, Zerstörung oder Schädigung geschützt werden. |
Rechte der betroffenen Personen
Die DSGVO gewährt den betroffenen Personen umfassende Rechte in Bezug auf ihre personenbezogenen Daten:
| Recht | Beschreibung |
|---|---|
| Auskunftsrecht | Betroffene Personen haben das Recht, Auskunft über die zu ihrer Person gespeicherten Daten und deren Verarbeitung zu erhalten. |
| Recht auf Berichtigung | Betroffene Personen können die Berichtigung unrichtiger oder unvollständiger Daten verlangen. |
| Recht auf Löschung („Recht auf Vergessenwerden“) | Betroffene Personen können die Löschung ihrer Daten verlangen, wenn bestimmte Voraussetzungen erfüllt sind. |
| Recht auf Einschränkung der Verarbeitung | Betroffene Personen können unter bestimmten Bedingungen die Einschränkung der Verarbeitung ihrer Daten verlangen. |
| Recht auf Datenübertragbarkeit | Betroffene Personen haben das Recht, ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese Daten einem anderen Verantwortlichen zu übermitteln. |
| Widerspruchsrecht | Betroffene Personen können der Verarbeitung ihrer Daten aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit widersprechen. |
Meldepflichten bei Datenschutzverletzungen
Verantwortung der Unternehmen:
Unternehmen sind verpflichtet, Datenschutzverletzungen unverzüglich, in der Regel innerhalb von 72 Stunden nach Bekanntwerden, der zuständigen Aufsichtsbehörde zu melden. Bei Verletzungen, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellen, müssen diese ebenfalls informiert werden.
| Maßnahme | Beschreibung |
|---|---|
| Interne Meldestruktur | Einrichtung einer klaren Struktur und Prozesse zur internen Meldung von Datenschutzverletzungen. |
| Meldung an Aufsichtsbehörde | Formelle Meldung an die zuständige Datenschutzaufsichtsbehörde mit detaillierten Informationen zur Verletzung. |
| Information der Betroffenen | Benachrichtigung der betroffenen Personen über die Verletzung und mögliche Maßnahmen zum Schutz ihrer Daten. |
Datenschutz in der Praxis
Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten:
Unternehmen müssen ein Verzeichnis aller Verarbeitungstätigkeiten führen, das die Art der verarbeiteten Daten, die Zwecke der Verarbeitung, die Rechtsgrundlage und weitere relevante Informationen enthält.
| Bestandteil | Beschreibung |
|---|---|
| Verarbeitungstätigkeit | Beschreibung der Datenverarbeitung und deren Zweck. |
| Datenkategorien | Kategorien der verarbeiteten personenbezogenen Daten. |
| Betroffene Personen | Kategorien der von der Verarbeitung betroffenen Personen. |
| Rechtsgrundlage | Rechtsgrundlage für die Verarbeitung (z.B. Einwilligung, Vertragserfüllung). |
| Empfänger | Kategorien von Empfängern, an die die Daten weitergegeben werden. |
Durchführung von Datenschutz-Folgenabschätzungen (DSFA):
Für Verarbeitungsvorgänge, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellen, muss eine Datenschutz-Folgenabschätzung durchgeführt werden.
| Schritt | Beschreibung |
|---|---|
| Risikoanalyse | Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen. |
| Maßnahmenplanung | Planung und Umsetzung von Maßnahmen zur Risikominderung. |
| Dokumentation | Detaillierte Dokumentation der Ergebnisse der Folgenabschätzung und der ergriffenen Maßnahmen. |
Auftragsverarbeitung und Verträge mit Dienstleistern:
Wenn ein Unternehmen personenbezogene Daten durch externe Dienstleister verarbeiten lässt, muss ein Vertrag zur Auftragsverarbeitung abgeschlossen werden, der die Pflichten des Dienstleisters im Hinblick auf den Datenschutz festlegt.
| Vertragsbestandteil | Beschreibung |
|---|---|
| Gegenstand der Verarbeitung | Beschreibung der verarbeiteten Daten und der Verarbeitungstätigkeiten. |
| Dauer der Verarbeitung | Zeitraum, in dem die Daten verarbeitet werden. |
| Pflichten und Rechte des Verantwortlichen | Festlegung der Pflichten des Auftraggebers (Verantwortlicher). |
| Pflichten des Auftragsverarbeiters | Festlegung der Pflichten des Dienstleisters (Auftragsverarbeiter), insbesondere im Hinblick auf Datensicherheit und Unterstützung des Verantwortlichen. |