FAQ (Meistgestellte Datenschutzfragen)

Der Gesetzgeber hat den Umgang mit personenbezogenen Daten unter einen besonderen Schutz gestellt. Dieser Schutz, seine Grundsätze und seine Vorgaben finden sich in einer Reihe von Gesetzen in der EU und in der Bundesrepublik Deutschland. Es werden zunehmend personenbezogene Daten gesammelt und ausgewertet. Um Missbrauch und Datenschutzpannen zu vermeiden, müssen viele Vorkehrungen – auch für den Notfall -getroffen werden.

Als erstes Bundesland verabschiedete Hessen im Herbst 1970 ein Landesdatenschutzgesetz. Mithilfe des Gesetzes sollten unter anderem elektronisch verarbeitete Daten vor dem Zugriff durch Unbefugte geschützt und die Stelle eines Datenschutzbeauftragten als unabhängige Kontrollinstanz geschaffen werden.

Im Dezember 1983 verkündete das Bundesverfassungsgericht (BVerfG) das sogenannte „Volkszählungsurteil“. Darin leitete das BVerfG aus dem Grundgesetz (Artikel 1 Absatz 1 Würde des Menschen und Artikel 2 Absatz 1 Freie Entfaltung der Persönlichkeit) das „Recht auf informationelle Selbstbestimmung“ ab.

In der Folge kam es 1990 zu einer Novellierung des Bundesdatenschutzgesetzes.

Im Jahr 2009 wurde das BDSG erneut novelliert: Anlass für die Gesetzesreform war laut Bundestag unter anderem der Umgang mit personenbezogenen Daten für den Adresshandel. Im Zuge der Reform wurden die Bestimmungen für den Adresshandel geändert, die Verwendung personenbezogener Daten zum Zwecke der Werbung ohne Einwilligung der Betroffenen beschränkt und die Scoring-Verfahren (Verfahren, die vor allem zur Überprüfung der Kreditwürdigkeit einer Person oder eines Unternehmens eingesetzt werden) neu geregelt.

Am 27. April 2016 trat die DSGVO der Europäischen Union in Kraft. Die Verordnung ersetzt die Datenschutzrichtlinie von 1995.

Die Datenschutz-Grundverordnung soll den Bürgerinnen und Bürgern der EU eine bessere Kontrolle ihrer personenbezogenen Daten ermöglichen. Sie schreibt unter anderem eine Informationspflicht bei der Erhebung von personenbezogenen Daten sowie das Recht auf Berichtigung und auf Löschung personenbezogener Daten fest. Unternehmen und öffentliche Stellen müssen außerdem Betroffene sofort über ernsthafte Verletzungen des Schutzes personenbezogener Daten informieren. Die Bestimmungen gelten zudem auch für Unternehmen mit Sitz außerhalb der EU.

Ab dem 25. Mai 2018 müssen alle EU-Mitgliedsstaaten die EU-Datenschutz-Grundverordnung verbindlich anwenden. Infolgedessen wurde das Bundesdatenschutzgesetz grundlegend überarbeitet.

Der Datenschutz schütz nicht Daten sondern Menschen! Datenschutz ist ein Grundrecht. Geschützt ist …

… jede sich in der EU aufhaltende natürliche Person

…vor der Verarbeitung ihrer personenbezogenen Daten durch Verantwortliche und Auftragnehmer innerhalb und außerhalb der EU

Die Allgemeine Datenschutz-Grundverordnung (DSGVO) ist das inzwischen vermutlich allen bekannte EU-Gesetz, das im Mai 2018 mit dem Ziel in Kraft trat, einen einheitlichen Standard des Datenschutzrechts in der Europäischen Union zu schaffen.

Sie legt die Regeln für den Schutz natürlicher Personen und ihres Rechts auf Privatsphäre im Hinblick auf die Verarbeitung und den Austausch personenbezogener Daten fest.

Das bedeutet, sie regelt, wie Unternehmen und Organisationen die persönlichen Daten europäischer Bürger verarbeiten dürfen.

Das BDSG regelt die Verarbeitung personenbezogener Daten in Deutschland. Die neue Fassung konkretisiert und ergänzt die EU-Datenschutz-Grundverordnung, die das Datenschutzrecht für alle EU-Mitgliedstaaten vereinheitlicht. Das BDSG ergänzt die EUDSGVO in vielerlei Hinsicht in Bezug auf Deutsche Gegebenheiten. Dies wird möglich durch Öffnungsklauseln in der DSGVO und der Einräumung des Vorranges des EU Rechts in dem BSDG.

Die Abkürzung TTDSG steht für Telekommunikation-Telemedien-Datenschutzgesetz und hat teilweise die zum Teil die komplexe Regelungsstruktur aus dem Telemediengesetz (TMG) und Telekommunikationsgesetz (TKG) abgelöst.

Der Anwendungsbereich des TTDSG umfasst alle Unternehmen und Personen, die im Geltungsbereich dieses Gesetzes eine Niederlassung haben oder Dienstleistungen erbringen oder daran mitwirken oder Waren auf dem Markt bereitstellen. Der sachliche Anwendungsbereich umfasst Themen wie das Fernmeldegeheimnis, Abhörverbote, der Umgang mit Cookies oder die Rechte von Erben des Endnutzers von Telekommunikationsdiensten oder Telemedien. Wichtig ist zudem zu erwähnen, dass nicht nur personenbezogene Daten, sondern alle im Wege der Nutzung von Telemedien- und Telekommunikationsdiensten erhobenen Informationen vom Geltungsbereich des neuen TTDSG betroffen sind.

Der Begriff „personenbezogene Daten“ spielt eine zentrale Rolle. Nur dann, wenn Daten einen Bezug zu einem Menschen aufweisen (z. B. Name, Geburtstag, Adresse, E-Mail-Adresse, IP-Adresse oder Bankverbindung), kommt das Datenschutzrecht zur Anwendung.

NICHT gemeint sind beispielsweise Firmengeheimnisse, urheberrechtlich geschützte Werke oder Amtsgeheimnisse. Beispiele für personenbezogene Daten sind: Name, Adresse, Benutzerkennung, IP-Adresse, Arbeitsverhalten, Geburtsdatum, Gehalt, Foto, Einkaufsverhalten, Arbeitsverhalten, Telefonnummer, E-Mail-Adresse, Bewegungsdaten.

Der Gesetzgeber schützt dabei insbesondere folgende besonders kritische Daten: Rassistische und ethnische Herkunft, politische Meinung, religiöse und philosophische Überzeugung, Gesundheit und Sexualleben, biometrische Daten, genetische Daten, Bank- und Kreditkartendaten.

Die Betroffenen sind identifizierbar, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden können, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Personen sind. Darunter fallen also sämtliche Daten, die auf jedwede Weise einer Person zugeordnet werden oder zugeordnet werden können. Beispielsweise zählen dazu: die Telefonnummer, die Kreditkarten- oder Personalnummern einer Person, die Kontodaten, ein Kfz-Kennzeichen, das Aussehen, die Kundennummer, eine IP-Adresse, eine Kundennummer oder die Anschrift.

Eine Person gilt als identifiziert, wenn die Zuordnung von Daten ohne Umweg möglich ist und ein direkter Bezug hergestellt werden kann. Hierzu gehören beispielsweise: Ein Foro, ein Fingerabdruck oder ein Ausweis.

Mit “Verarbeitung” (personenbezogener Daten) meint man jegliche Maßnahmen, die mit diesen personenbezogenen Daten durchgeführt werden (egal ob sie automatisiert sind oder nicht. Häufige Typen von Verarbeitung personenbezogener Daten enthalten unter anderem das Sammeln, Aufzeichnen, Ordnen, Speichern, Verändern, Nutzen, Erfassen, Notieren, Archivieren, Bereitstellen, Sperren, Veröffentlichen, Verbinden und Löschen dieser Daten.

Jede Verarbeitung von personenbezogenen Daten ist grundsätzlich verboten. Ein Umgang mit Daten darf nur erfolgen, wenn: – eine Einwilligung desjenigen dessen Daten verarbeitet werden sollen vorliegt, – es sich um eine Maßnahme zur Erfüllung oder Vorbereitung eines Vertrages handelt, – eine Rechtvorschrift dazu zwingt, – ein Gesetz es legitimiert oder – ein berechtigtes Interesse des Verantwortlichen vorliegt.

Datensparsamkeit (oder Datenvermeidung, Datenminimierung) ist ein Prinzip des Datenschutzes. Es besagt, dass bei der Datenverarbeitung immer so wenig wie möglich Daten erfasst und verarbeitet werden dürfen, wie für den jeweiligen Zweck unbedingt nötig ist.

Der Begriff „Betroffener“ oder „Betroffene“ wird in der Datenschutz-Grundverordnung (DS-GVO) nicht verwendet. Art. 4 Nr. 1 DS-GVO beschreibt eine betroffene Person als eine identifizierte oder identifizierbare natürliche Person. Insofern ist das Wort Betroffener eine abgekürzte Verwendung für betroffene Person und im Datenschutzkontext Synonyme für „betroffene Person“, „natürliche Person“ oder „Datensubjekt“. Mit anderen Worten sind Betroffene also Menschen (mit Ihren personenbezogenen Daten)

Damit sich Personen, deren Daten verarbeitet werden, detailliert informieren können, hat der Gesetzgeber den Betroffenen die sogenannten Betroffenenrechte eingeräumt. Alle datenverarbeitenden Stellen sind gemäß Art. 13 DS-GVO dazu verpflichtet, im Moment der ersten Datenerfassung, Informationspflichten zu erfüllen. Anhand dieser können Betroffene sich z.B. über folgende Sachverhalte informieren: -Wer ist die Stelle, die Daten verarbeitet (Verantwortliche Stelle), -Gibt es einen Datenschutzbeauftragten, -Was sind die Zwecke der Datenverarbeitung, -Sofern Datenverarbeitung auf dem berechtigten Interesse beruht, die Interessenabwägung, -Empfänger oder Kategorien von Empfängern, -Bei Übermittlung in Drittstaaten die Sicherstellung des Schutzniveaus, -Dauer der Datenverarbeitung.

Neben den Informationspflichten haben Betroffene noch weitreichendere Möglichkeiten, sich über Verarbeitungen zu informieren und Einfluss auf diese zu nehmen.

Recht auf Auskunft
Jede natürliche Person kann ungeachtet der Tatsache, ob die verantwortliche Stelle tatsächlich personenbezogene Daten über sie verarbeitet, eine Anfrage stellen ob- und welche personenbezogene Daten über sie verarbeitet werden.

Recht auf Berichtigung
Betroffene haben das Recht die Korrektur falscher Daten zu verlangen. Dies kann z.B. zum Tragen kommen, nachdem bei einem Auskunftsersuchen aufgefallen ist, das Daten nicht mehr korrekt / aktuell sind.

Recht auf Löschung
Betroffene haben das Recht, die Löschung ihrer personenbezogenen Daten zu verlangen. Sofern dem keine Zwecke oder Aufbewahrungsfristen der verantwortlichen Stelle gegenüberstehen, ist diese Aufforderung durch den Verantwortlichen umzusetzen.

Recht auf Einschränkung der Verarbeitung
In manchen Fällen kann das Recht auf Löschung z.B. aufgrund von Aufbewahrungsfristen nicht gewährt werden. In diesen Fällen kann dem Betroffenen angeboten werden, die Verarbeitung einzuschränken. So werden die betroffenen Daten z.B. aus dem Live-System genommen und sind nur noch einem sehr kleinen Personenkreis zugänglich.

Beschwerderecht bei einer Aufsichtsbehörde
Verantwortliche Stellen sind verpflichtet, die betroffenen Personen darüber zu informieren, dass es ein Beschwerderecht bei einer Aufsichtsbehörde gibt. Ebenfalls sollten in diesem Rahmen die Kontaktdaten der zuständigen Aufsichtsbehörde genannt werden.

Mitteilungspflicht
Die verantwortliche Stelle teilt allen Empfängern, denen die Daten einer betroffenen Person offengelegt wurden mit, ob Berichtigungen oder Löschungen an den Daten durchgeführt wurden. So wird sichergestellt, dass die Daten überall korrekt vorliegen.

Recht auf Datenübertragbarkeit
Betroffene haben das Recht, die sie betreffenden Daten, in einem allgemeingültigen Format (strukturiert, maschinenlesbar) vom Verantwortlichen zu erhalten.

Widerspruchsrecht
Die betroffene Person hat das Recht Widerspruch gegen Verarbeitungen einzulegen, die sich auf das berechtigte Interesse (DS-GVO Art. 6 Abs. f) oder für die Wahrnehmung einer Aufgabe im öffentlichen Interesse (DS-GVO Art. 6 Abs. e) beziehen.

Einschränkung von automatisierten Einzelentscheidungen
Betroffene von Datenverarbeitungen haben das Recht nicht einer auf ausschließlich automatisierten Verarbeitung (inklusive Profiling) und einer darauf beruhenden Entscheidung unterworden zu werden.

Wenn Sie in Ihrem Unternehmen, Ihrer Praxis, Ihrer Schule, ihrem Verein oder jeder anderen Organisation mit personenbezogenen Daten arbeiten, müssen Sie sich mit den Grundregeln auskennen und mit den wesentlichen Pflichten, die sich daraus ergeben. Das betrifft alle – auch wenn Sie nur gelegentlich mit personenbezogenen Daten arbeiten.

Juristisch ausgedrückt: Verantwortlicher im Sinne des europäischen Datenschutzrechts ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Mit anderen Worten: Jeder, der personenbezogene Daten „verarbeitet“, sprich nutzt oder etwas mit diesen im Auftrag gestaltet (Auftragsverarbeitung), ist dafür verantwortlich, dass die Informationen geschützt werden, welche nicht für die Allgemeinheit gedacht sind. Generell ist Datenschutz Chefsache im Sinne der Gesetzgebung. Beispielsweise der Geschäftsführer einer GmbH. Er haftet prinzipiell auch zunächst für die Fehler seiner Mitarbeiter. Durch geeignete Maßnahmen werden alle Personen welche Daten in einer Organisation verarbeiten, verantwortlich. Letztlich muss jeder – auch jenseits der Gesetzgebung – ein Bewusstsein dafür besitzen oder entwickeln verantwortungsbewusst mit personenbezogenen Daten umzugehen.

Grundsätzlich soll ein Datenschutzbeauftragter in öffentlichen und nichtöffentlichen Stellen dafür Sorge tragen, dass die datenschutzrechtlichen Bestimmungen bezüglich des Umgangs mit personenbezogenen Daten eingehalten werden. Er fungiert als eingesetztes unabhängiges Kontrollorgan.

Der Datenschutzbeauftragte:

– Unterrichtet und berät die Mitglieder der Organisation zu datenschutzrelevanten Themen,

-Überprüft, ob die Mitglieder der Organisation den vorgeschriebenen Datenschutz einhalten,

-Arbeitet mit Aufsichtsbehörden zusammen und dient als erste Anlaufstelle für sie und betroffene Personen,

-Fertigt Berichte der Datenverarbeitung und ihrer Zwecke an.

Die Datenschutz-Grundverordnung  betont die Verantwortlichkeit, die Organisationen (auch „verantwortliche Stellen“ oder „Verantwortliche“ genannt) für die Einhaltung des Datenschutzes haben. Sie müssen nachweisen können, dass ihre Datenverarbeitung datenschutzkonform ist. Umfangreiche Pflichten zur Dokumentation sollen dies sicherstellen. Die Aufzeichnungen dienen als Nachweis gegenüber der Datenschutzaufsicht, bei gerichtlichen Kontrollverfahren sowie für eine nachträgliche Information Betroffener. Eine erfolgreiche Umsetzung dieser Verpflichtung setzt die Entwicklung, Implementierung und Anwendung eines Datenschutz-Managementsystems voraus. Dabei müssen Verantwortliche eruieren, welche Dokumentationspflichten sie zu beachten haben, Umfang und Grenzen dieser Pflichten kennen und Prozesse einführen, die deren Einhaltung sicherstellen.

Manchmal ist es klar aber oft genug auch nicht. Nutzen wir den gesunden Menschenverstand. Wenn es sich um Ihre eigenen Daten handeln würde – würden sie dann das damit machen, was sie gerade vorhaben oder tun sollen? Oder hätten Sie Bedenken? Wenn sie an der Stelle mit Ja antworten, dann ist es besser Vorsicht walten zu lassen.

Gewähren Sie niemandem Zugriff auf Ihre Endgeräte.

Geben Sie so wenig wie möglich an Daten preis.

Verwenden Sie starke Passwörter.

Geben Sie Ihre Kennwörter niemandem bekannt. Notierte Kennwörter sind keine.

Aktivieren Sie die Geräteverschlüsselung.

Lassen Sie Geräte nur bei vertrauenswürdigen Stellen reparieren.

Stellen Sie Ihren Browser datenschutzfreundlich ein.

Öffnen Sie keine unerwarteten E-Mails oder Nachrichten und schon gar nicht deren Anhänge.

Seien Sie vorsichtig bei der Nutzung von SocialMedia und Veröffentlichungen.

Lesen Sie immer Datenschutzbestimmungen.

Schreddern Sie vertrauliche Papiere.

Löschen Sie die Daten mit einer sicheren Methode bevor Sie diese verkaufen / entsorgen.

Gewähren Sie niemandem (auch der Familie nicht) Einblick in Rechner und Unterlagen.

An Videokonferenzen darf nur teilnehmen wer geladen ist.

Nutzen Sie für Videokonferenzen ein Headset.

Lassen Sie Kennwörter auch hier nicht offen herumliegen.

Verwahren Sie Daten, Ausdrucke, Datenträger und Endgeräte stets sicher (verschlüsseln!).

Achten Sie auch hier darauf was sie wo ausdrucken und holen es sofort aus dem Drucker.

Melden Sie sofort den Verlust eines Datenträgers (Unterlagen, Rechner, USB-Stick, Ausdruck).

Reinigen Sie Tafeln / Flipcharts / Whiteboards in Besprechungsräumen von pers.bez.Dat.

Entsorgen Sie Papier und Aufzeichnungen. Im Zweifel schreddern.

Melden Sie sich umgehend beim Vorgesetzen oder DSB bei Verdacht auf eine Datenpanne.

Sofern es Beweise zu sichern gilt tun Sie das. NICHTS weiterleiten!

Holen Sie gedruckte Unterlagen sofort aus dem Drucker.

Fehlende Ausdrucke können ein erhebliches Datenschutzrisiko sein.

Wenn Sie eine Anfrage eines Betroffenen erhalten müssen Sie diese unbedingt weiterleiten.

Wenn Sie den Arbeitsplatz verlassen, sperren Sie Ihren Rechner.

Wenn sie einen „öffentlichen“ Rechner nutzen, melden Sie sich bei Verlassen des Platzes ab.

Lassen Sie kritische Unterlagen nicht rumliegen und verwahren Sie Unbefugten den Einblick.

Schließen Sie Ihr Büro ab, wenn Sie gehen.

Datenschutz ist eine Aufgabe für uns alle.

Datenschutz schützt auch Ihre Daten.

Ihr Datenschutzbeauftragter unterstütz und berät gerne bei Fragen zum Datenschutz.

Bleiben Sie wachsam!