Datenschutz im Rahmen der Datenschutz-Grundverordnung

Die Datenschutz-Grundverordnung enthält detaillierte Anforderungen für Unternehmen und Organisationen bei der Erfassung, Speicherung und Verwaltung von personenbezogenen Daten. Die Verordnung gilt sowohl für europäische Organisationen, die personenbezogene Daten von natürlichen Personen in der EU verarbeiten, als auch für Organisationen außerhalb der EU, die Dienstleistungen für Menschen mit Wohnsitz in der EU anbieten.

Wann gilt die Datenschutz-Grundverordnung?

Die Datenschutz-Grundverordnung gilt, wenn:

  • Ihr Unternehmen personenbezogene Daten verarbeitet und in der EU ansässig ist, unabhängig davon, wo die tatsächliche Datenverarbeitung stattfindet
  • Ihr Unternehmen außerhalb der EU ansässig ist, jedoch personenbezogene Daten in Bezug auf Waren oder Dienstleistungen, die Personen in der EU angeboten werden, verarbeitet oder das Verhalten von Personen in der EU beobachtet.

Nicht in der EU ansässige Unternehmen, die Daten von EU-Bürgern verarbeiten, müssen einen Vertreter in der EU ernennen.

Wann gilt die Datenschutz-Grundverordnung nicht?

Die Datenschutz-Grundverordnung gilt nicht, wenn:

  • die betroffene Person verstorben ist
  • die betroffene Person eine juristische Person ist
  • die Verarbeitung durch eine Person erfolgt, die zu einem Zweck handelt, der nicht ihrer gewerblichen, geschäftlichen oder beruflichen Tätigkeit zugerechnet werden kann

Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person („betroffene Person") beziehen. Personenbezogene Daten enthalten Informationen wie:

  • Name
  • Anschrift
  • Personalausweis-/Passnummer
  • Einkommen
  • Kulturprofil
  • Internetprotokoll (IP-Adresse)
  • Daten, die von einem Krankenhaus oder Arzt gespeichert werden (und zur alleinigen Identifizierung dieser Person für Gesundheitszwecke dienen).

Besondere Datenkategorien

Sie dürfen keine personenbezogenen Daten über folgende Merkmale einer Person verarbeiten:

  • rassische oder ethnische Herkunft
  • sexuelle Orientierung
  • politische Meinungen
  • religiöse oder weltanschauliche Überzeugungen
  • Zugehörigkeit zu einer Gewerkschaft
  • genetische oder biometrische Daten oder Daten über die Gesundheit, außer in bestimmten Fällen (wenn Sie z. B. die ausdrückliche Einwilligung erhalten haben oder wenn die Verarbeitung aus wichtigen Gründen des öffentlichen Interesses oder auf der Grundlage des EU-Rechts oder des nationalen Rechts erforderlich ist)
  • strafrechtliche Verurteilungen oder Straftaten, es sei denn, dies ist auf der Grundlage des EU-Rechts oder des nationalen Rechts zulässig

Wer verarbeitet die personenbezogenen Daten?

An der Verarbeitung der personenbezogenen Daten können mehrere unterschiedliche Unternehmen oder Organisationen beteiligt sein. Es gibt dabei zwei Hauptprofile, die für die Verarbeitung von personenbezogenen Daten zuständig sind:

  • Der Verantwortliche entscheidet über den Zweck und die Art und Weise, in der die personenbezogenen Daten verarbeitet werden.
  • Der Auftragsverarbeiter verfügt über und verarbeitet die Daten im Auftrag des Verantwortlichen.

Wer überwacht, wie personenbezogene Daten innerhalb eines Unternehmens verarbeitet werden?

Der von dem Unternehmen ernannte Datenschutzbeauftragte ist dafür zuständig, die Verarbeitung der personenbezogenen Daten zu überwachen und die Mitarbeiter, die personenbezogene Daten verarbeiten, über ihre Pflichten aufzuklären und zu beraten. Der Datenschutzbeauftragte arbeitet mit der Datenschutzbehörde zusammen und dient als Anlaufstelle für die Behörde und die Personen.

Wann sollten Sie einen Datenschutzbeauftragten ernennen?

Ihr Unternehmen ist verpflichtet, einen Datenschutzbeauftragten zu ernennen, wenn:

  • Sie regelmäßig oder systematisch natürliche Personen beobachten oder besondere Kategorien von Daten verarbeiten
  • die Verarbeitung zum Kerngeschäft gehört
  • Sie in großem Umfang Daten verarbeiten.

Wenn Sie zum Beispiel personenbezogene Daten verarbeiten, um mithilfe von Suchmaschinen gezielt Werbung auf der Grundlage des Online-Verhaltens von Personen zu platzieren, müssen Sie einen Datenschutzbeauftragten ernennen. Falls Sie jedoch nur einmal im Jahr Werbematerial an Ihre Kunden verschicken, benötigen Sie keinen Datenschutzbeauftragten. Falls Sie ein Arzt sind, der Daten über die Gesundheit von Patienten erhebt, benötigen Sie wahrscheinlich ebenfalls keinen Datenschutzbeauftragten. Falls Sie jedoch personenbezogene Daten über genetische Merkmale und gesundheitsbezogene Daten für ein Krankenhaus verarbeiten, brauchen Sie einen Datenschutzbeauftragten.

Der Datenschutzbeauftragte kann ein Mitarbeiter Ihrer Organisation sein oder extern auf der Grundlage eines Dienstleistungsvertrags beauftragt werden. Ein Datenschutzbeauftragter kann eine natürliche Person oder Teil einer Organisation sein.

Verarbeitung von Daten für ein anderes Unternehmen

Ein Verantwortlicher darf nur Auftragsverarbeiter beauftragen, die hinreichende Garantien bieten; diese sind in einem schriftlichen Vertrag zwischen den beteiligten Parteien festzuhalten. Außerdem muss der Vertrag eine Reihe von zwingenden Bestimmungen enthalten, unter anderem eine Klausel, die vorsieht, dass der Auftragsverarbeiter personenbezogene Daten nur auf Weisung des Verantwortlichen verarbeiten wird.

Datenübermittlung in Länder außerhalb der EU

Werden personenbezogene Daten in Länder außerhalb der EU übermittelt, sollte der von der Datenschutz-Grundverordnung gebotene Schutz mit den Daten reisen. Um Daten ins Ausland zu exportieren, müssen Unternehmen also sicherstellen, dass bestimmte Maßnahmen eingehalten werden:

  • Die EU erachtet den durch das jeweilige Nicht-EU-Land vorgesehenen Schutz als angemessen.
  • Ihr Unternehmen trifft die notwendigen Maßnahmen, um geeignete Garantien zu bieten, etwa durch die Aufnahme bestimmter Klauseln in den Vertrag, den Sie mit dem nicht in Europa ansässigen Einführer der personenbezogenen Daten geschlossen haben.
  • Ihr Unternehmen stützt sich auf bestimmte Gründe für die Übermittlung (sogenannte Ausnahmen) wie die Einwilligung der jeweiligen Person.

Wann ist die Verarbeitung von personenbezogenen Daten erlaubt?

Die EU-Datenschutzvorschriften schreiben vor, dass die Verarbeitung von Daten fair und rechtmäßig sein, für einen festgelegten, rechtmäßigen Zweck erfolgen und sich auf die zur Erfüllung dieses Zwecks erforderlichen Daten beschränken sollte. Sie müssen außerdem sicherstellen, dass Sie eine der folgenden Bedingungen erfüllen, um personenbezogene Daten verarbeiten zu dürfen:

  • Sie haben die Einwilligungder betroffenen Person erhalten
  • Sie benötigen die personenbezogenen Daten, um eine Verpflichtung aus einem Vertrag mit der Person zu erfüllen
  • Sie benötigen die personenbezogenen Daten zur Erfüllung einer rechtlichen Verpflichtung
  • Sie benötigen die personenbezogenen Daten zum Schutz lebenswichtiger Interessen der Person
  • Sie verarbeiten personenbezogene Daten zur Erfüllung einer Aufgabe, die im öffentlichen Interesse liegt
  • Sie handeln gemäß den berechtigten Interessen Ihres Unternehmens, jedoch nur, nachdem sichergestellt wurde, dass die Grundrechte und Grundfreiheiten der betroffenen Person bei der Datenverarbeitung nicht ernsthaft beeinträchtigt werden. Wenn die Rechte der Person gegenüber den Interessen Ihres Unternehmens überwiegen, dürfen Sie die Daten nicht verarbeiten.

Zustimmung zur Datenverarbeitung – Einwilligung

Die Datenschutz-Grundverordnung wendet strenge Regeln für die auf Einwilligung beruhende Datenverarbeitung an. Der Zweck dieser Regeln besteht darin, sicherzustellen, dass Personen verstehen, in was sie einwilligen. Daher sollte die Einwilligung freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich, in klarer und einfacher Sprache eingeholt werden. Außerdem sollte sie durch eine bestätigende Handlung erfolgen, zum Beispiel durch das Anklicken eines Kästchens im Internet oder die Unterzeichnung eines Formulars.

Wenn eine Person der Verarbeitung ihrer personenbezogenen Daten zustimmt, können Sie die Daten nur für jene Zwecke verarbeiten, zu denen die Einwilligung erfolgt ist. Sie müssen ihr außerdem die Möglichkeit geben, die Einwilligung zu widerrufen.

Bereitstellung transparenter Informationen

Unternehmen müssen Personen darüber informieren, wer die personenbezogenen Daten aus welchem Grund verarbeitet. Diese Informationen müssen mindestens folgende Aspekte beinhalten:

  • wer Sie sind
  • warum Sie die Daten verarbeiten
  • welche Rechtsgrundlage besteht
  • wer die Daten erhält (sofern zutreffend)

In einigen Fällen müssen auch folgende Angaben gemacht werden:

  • die Kontaktdaten des Datenschutzbeauftragten, sofern zutreffend
  • das berechtigte Interesse, sofern ein berechtigtes Interesse die Rechtsgrundlage für die Verarbeitung darstellt
  • die verwendeten Maßnahmen zur Übermittlung der Daten in ein Land außerhalb der EU
  • wie lange die Daten gespeichert werden
  • die Datenschutzrechte der Person (d. h. das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit usw.)
  • wie die Einwilligung widerrufen werden kann (wenn eine Einwilligung die Rechtsgrundlage für die Verarbeitung ist)
  • ob eine gesetzliche oder vertragliche Verpflichtung zur Bereitstellung der Daten besteht
  • im Falle einer automatisierten Entscheidungsfindung: Informationen über die Logik, Tragweite und Auswirkungen der Entscheidung

Die Angaben müssen klar und in verständlicher Sprache erfolgen.

Besondere Vorschriften für Kinder

Wenn Sie auf der Grundlage einer Einwilligung personenbezogene Daten eines Kindes, zum Beispiel im Zusammenhang mit einem Konto bei den sozialen Medien oder einem Downloadportal erfassen, müssen Sie zuerst die Einwilligung der Eltern einholen, z. B. durch Senden einer Mitteilung an einen Elternteil oder Erziehungsberechtigten. Wann eine Person als Kind angesehen wird, unterscheidet sich von Land zu Land; das entsprechende Alter liegt jedoch grundsätzlich zwischen 13 und 16 Jahren.

Recht auf Auskunft und Recht auf Datenübertragbarkeit

Sie müssen gewährleisten, dass die Personen das Recht auf unentgeltliche Auskunft über ihre personenbezogenen Daten haben. Wenn Sie einen entsprechenden Antrag erhalten, müssen Sie:

  • der Person mitteilen, ob Sie ihre personenbezogenen Daten verarbeiten
  • sie über die Verarbeitung informieren (etwa über den Zweck der Verarbeitung, die Kategorien der betreffenden personenbezogenen Daten, die Empfänger ihrer Daten usw.)
  • eine Kopie der verarbeiteten personenbezogenen Daten zur Verfügung stellen

Außerdem können Personen, sofern die Verarbeitung auf einer Einwilligung oder einem Vertrag beruht, verlangen, dass ihre personenbezogenen Daten zurückgegeben oder an ein anderes Unternehmen übermittelt werden. Dies wird das Recht auf Datenübertragbarkeit genannt. Die Daten sollten in einem gängigen und maschinenlesbaren Format bereitgestellt werden.

Recht auf Berichtigung und auf Widerspruch

Wenn eine Person der Ansicht ist, ihre personenbezogenen Daten seien falsch, unvollständig oder unrichtig, hat sie das Recht, sie unverzüglich berichtigen oder vervollständigen zu lassen.

Falls dies der Fall ist, sollten Sie alle Datenempfänger informieren, falls personenbezogene Daten, die Sie mit Ihnen geteilt haben, geändert oder gelöscht wurden. Falls personenbezogene Daten, die Sie weitergegeben haben, falsch waren, sollten Sie auch sämtliche Personen, die diese gesehen haben, darüber informieren, dass dies der Fall war (sofern dies nicht als unverhältnismäßiger Aufwand angesehen werden kann).

Eine Person kann außerdem jederzeit der Verarbeitung ihrer personenbezogenen Daten für einen bestimmten Verwendungszweck widersprechen, wenn Ihr Unternehmen diese auf der Grundlage Ihrer berechtigten Interessen oder für eine Aufgabe des öffentlichen Interesses verarbeitet. Sofern Ihr berechtigtes Interesse das Interesse der Person nicht überwiegt, müssen Sie die Verarbeitung der personenbezogenen Daten beenden.

Ebenso kann eine Person verlangen, dass die Verarbeitung ihrer personenbezogenen Daten eingeschränkt wird, während ermittelt wird, ob Ihr berechtigtes Interesse das Interesse der Person überwiegt. Im Falle von Direktwerbung sind Sie jedoch stets verpflichtet, die Verarbeitung personenbezogener Daten auf Antrag einer Person zu beenden.

Recht auf Löschung (Recht auf Vergessenwerden)

Unter bestimmten Umständen kann eine Person vom Verantwortlichen die Löschung ihrer personenbezogenen Daten verlangen, zum Beispiel, wenn die Daten nicht mehr zur Erfüllung des Verarbeitungszwecks benötigt werden. Ihr Unternehmen ist jedoch nicht verpflichtet, einem solchen Ersuchen nachzukommen, wenn:

  • die Verarbeitung zur Wahrung des Rechts auf freie Meinungsäußerung und Informationsfreiheit notwendig ist
  • Sie die personenbezogenen Daten aufbewahren müssen, um eine rechtliche Verpflichtung einzuhalten
  • andere Gründe des öffentlichen Interesses vorliegen – zum Beispiel, wenn Sie die personenbezogenen Daten zu Zwecken der öffentlichen Gesundheit oder zu wissenschaftlichen oder historischen Forschungszwecken aufbewahren müssen
  • Sie die personenbezogenen Daten aufbewahren müssen, um einen Rechtsanspruch geltend zu machen

Automatisierte Entscheidungsfindung und Profiling

Personen haben das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden. Für diese Regel existieren jedoch einige Ausnahmen, zum Beispiel, wenn die Person der automatisierten Entscheidung ausdrücklich zugestimmt hat. Außer, wenn die automatisierte Entscheidung auf einem Gesetz beruht, muss Ihr Unternehmen:

  • die Person über die automatisierte Entscheidungsfindung informieren
  • der Person das Recht geben, die automatisierte Entscheidung von einer Person überprüfen zu lassen
  • der Person die Möglichkeit geben, die automatisierte Entscheidung anzufechten

Wenn etwa eine Bank die Entscheidung automatisiert, ob sie einer bestimmten Person ein Darlehen gewährt, sollte diese Person über die automatisierte Entscheidung informiert werden und die Möglichkeit erhalten, die Entscheidung anzufechten und ein menschliches Eingreifen zu verlangen.

Ordnungsgemäße Meldung von Datenschutzverletzungen

Eine Datenschutzverletzung liegt vor, wenn personenbezogene Daten, für die Sie verantwortlich sind, unbeabsichtigt oder unrechtmäßig gegenüber unbefugten Empfängern offengelegt werden, vorübergehend nicht verfügbar sind oder geändert werden.

Stellt eine eingetretene Datenschutzverletzung ein Risiko für die Rechte und Freiheiten von Personen dar, sollten Sie Ihre Datenschutzbehörde innerhalb von 72 Stunden informieren, nachdem Sie von der Verletzung erfahren haben.

Abhängig davon, ob eine Datenschutzverletzung ein hohes Risiko darstellt, sind Unternehmen unter Umständen überdies verpflichtet, alle von der Datenschutzverletzung betroffenen Personen zu informieren.

Beantwortung von Anträgen

Erhält Ihr Unternehmen einen Antrag einer Person, die ihre Rechte ausüben möchte, sollten Sie unverzüglich, in jedem Fall aber innerhalb eines Monats ab Eingang des Antrags, darauf antworten. Die Frist zur Beantwortung kann allerdings im Fall von komplexen oder mehrfachen Anträgen um zwei Monate verlängert werden, sofern der Antragsteller über diese Fristverlängerung in Kenntnis gesetzt wird. Zudem müssen Anträge unentgeltlich bearbeitet werden.

Wird ein Antrag abgewiesen, müssen Sie die Person über die Gründe dafür und über ihr Recht unterrichten, Beschwerde bei der Datenschutzbehörde einzulegen.

Folgenabschätzungen

Die Durchführung einer Datenschutz-Folgenabschätzung ist immer dann verpflichtend, wenn die beabsichtigte Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellen würde, zum Beispiel beim Einsatz neuer Technologien.

Ein solches hohes Risiko besteht, wenn:

  • automatisierte Verarbeitung und Profiling-Mechanismen eingesetzt werden, um Personen zu bewerten
  • ein öffentlich zugänglicher Bereich weiträumig überwacht wird (z. B. durch Videoüberwachung)
  • in großem Umfang besondere Datenkategorien oder personenbezogene Daten im Zusammenhang mit Verurteilungen oder Straftaten verarbeitet werden (z. B. Gesundheitsdaten)

Hinweis: Datenschutzbehörden können auch andere Datenkategorien als hohes Risiko einstufen.

Wenn die in der Datenschutz-Folgenabschätzung vorgesehenen Maßnahmen nicht geeignet sind, alle festgestellten Risiken zu beseitigen, muss die Datenschutzbehörde kontaktiert werden, bevor die beabsichtigte Datenverarbeitung erfolgen kann.

Führen von Verzeichnissen

Sie müssen belegen können, dass Ihr Unternehmen die Datenschutz-Grundverordnung einhält und alle geltenden Pflichten erfüllt – insbesondere auf Anfrage oder bei Prüfungen durch die Datenschutzbehörde.

Eine Möglichkeit, das zu tun, besteht in der Führung detaillierter Verzeichnisse, die u. a. folgende Punkte enthalten:

  • Name und Kontaktdaten Ihres an einer Datenverarbeitung beteiligten Unternehmens
  • Grund bzw. Gründe für die Verarbeitung personenbezogener Daten
  • Beschreibung der Kategorien von Personen, die personenbezogene Daten bereitstellen
  • Kategorien der Organisationen, die personenbezogene Daten erhalten
  • Übermittlung personenbezogener Daten in ein anderes Land oder an eine andere Organisation
  • Speicherfristen für die personenbezogenen Daten
  • Beschreibung der Sicherheitsmaßnahmen, die bei der Verarbeitung personenbezogener Daten genutzt werden

Zusätzlich sollte Ihr Unternehmen Verfahren und Leitlinien schriftlich festhalten – und regelmäßig aktualisieren –, über die auch Ihre Mitarbeiter informiert werden.

Warnhinweis

Sofern Ihr Unternehmen ein KMU en ist, müssen Sie keine Verzeichnisse Ihre Datenverarbeitungsaktivitäten führen, sofern diese:

  • nicht regelmäßig erfolgen
  • die Freiheitsrechte der beteiligten Personen nicht einschränken
  • keine sensiblen Daten oder Straftaten betreffen

Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

Der Datenschutz durch Technikgestaltung bedeutet, dass Unternehmen den Datenschutz schon frühzeitig berücksichtigen, wenn sie neue Methoden der Verarbeitung personenbezogener Daten planen. Gemäß diesem Grundsatz muss ein Verantwortlicher alle erforderlichen technischen und organisatorischen Maßnahmen treffen, um die Datenschutzgrundsätze umzusetzen und die Rechte natürlicher Personen zu schützen. Zu diesen Maßnahmen könnte zum Beispiel der Einsatz von Pseudonymisierung zählen.

Datenschutz durch datenschutzfreundliche Voreinstellungen bedingt, dass Ihr Unternehmen stets die datenschutzfreundlichste Voreinstellung wählt. Sind zum Beispiel zwei Datenschutzeinstellungen möglich, von denen eine den Zugriff auf personenbezogene Daten durch Unbefugte verhindert, so ist letztere als Voreinstellung zu verwenden.

Verstöße gegen die Vorschriften und Sanktionen

Eine Nichteinhaltung der Datenschutz-Grundverordnung kann empfindliche Geldbußen nach sich ziehen – bei bestimmten Verstößen bis zu 20 Mio. EUR oder 4 % des weltweiten Umsatzes Ihres Unternehmens. Die Datenschutzbehörde kann Unternehmen zusätzliche Abhilfemaßnahmen auferlegen, indem sie zum Beispiel die Beendigung der Verarbeitung personenbezogener Daten anordnet.

Häufig gestellt Fragen - Datenschutz und Privatsphäre im Online-Umfeld Als externen Link öffnen

EU-Recht

Benötigen Sie Unterstützung durch unsere Hilfsdienste?

Wenden Sie sich an unsere spezialisierten Hilfsdienste:

Beratung zu unternehmensrelevanten EU-Vorschriften/Probleme mit einer Behörde lösen

Benötigen Sie eine Auskunft zur grenzüberschreitenden Wirtschaftstätigkeit (Ausfuhr, Expansion in einem anderen EU-Land)? Das Enterprise Europe Network beantwortet Ihre Fragen kostenlos.

Sie können auch die Suchfunktion für Hilfsdienste in Anspruch te nehmen.

Zuletzt überprüft: 06/07/2022
Seite weiterempfehlen