Leben und Reisen
Zuletzt überprüft: 15/03/2019

Datenschutz im Rahmen der Datenschutz-Grundverordnung

Britischer Beschluss zur Anwendung von Artikel 50 EUV: Mehr Informationen

Die Datenschutz-Grundverordnung enthält detaillierte Anforderungen für Unternehmen und Organisationen bei der Erfassung, Speicherung und Verwaltung von personenbezogenen Daten. Die Verordnung gilt sowohl für europäische Organisationen, die personenbezogene Daten von natürlichen Personen in der EU verarbeiten, als auch für Organisationen außerhalb der EU, die Dienstleistungen für Menschen mit Wohnsitz in der EU anbieten.

Wann gilt die Datenschutz-Grundverordnung?

Die Datenschutz-Grundverordnung gilt, wenn:

Nicht in der EU ansässige Unternehmen, die Daten von EU-Bürgern verarbeiten, müssen einen Vertreter in der EU ernennen.

Wann gilt die Datenschutz-Grundverordnung nicht?

Die Datenschutz-Grundverordnung gilt nicht, wenn:

Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person („betroffene Person") beziehen. Personenbezogene Daten enthalten Informationen wie:

Besondere Datenkategorien

Sie dürfen keine personenbezogenen Daten über folgende Merkmale einer Person verarbeiten:

Wer verarbeitet die personenbezogenen Daten?

An der Verarbeitung der personenbezogenen Daten können mehrere unterschiedliche Unternehmen oder Organisationen beteiligt sein. Es gibt dabei zwei Hauptprofile, die für die Verarbeitung von personenbezogenen Daten zuständig sind:

Wer überwacht, wie personenbezogene Daten innerhalb eines Unternehmens verarbeitet werden?

Der von dem Unternehmen ernannte Datenschutzbeauftragte ist dafür zuständig, die Verarbeitung der personenbezogenen Daten zu überwachen und die Mitarbeiter, die personenbezogene Daten verarbeiten, über ihre Pflichten aufzuklären und zu beraten. Der Datenschutzbeauftragte arbeitet mit der Datenschutzbehörde zusammen und dient als Anlaufstelle für die Behörde und die Personen.

Wann sollten Sie einen Datenschutzbeauftragten ernennen?

Ihr Unternehmen ist verpflichtet, einen Datenschutzbeauftragten zu ernennen, wenn:

Wenn Sie zum Beispiel personenbezogene Daten verarbeiten, um mithilfe von Suchmaschinen gezielt Werbung auf der Grundlage des Online-Verhaltens von Personen zu platzieren, müssen Sie einen Datenschutzbeauftragten ernennen. Falls Sie jedoch nur einmal im Jahr Werbematerial an Ihre Kunden verschicken, benötigen Sie keinen Datenschutzbeauftragten. Falls Sie ein Arzt sind, der Daten über die Gesundheit von Patienten erhebt, benötigen Sie wahrscheinlich ebenfalls keinen Datenschutzbeauftragten. Falls Sie jedoch personenbezogene Daten über genetische Merkmale und gesundheitsbezogene Daten für ein Krankenhaus verarbeiten, brauchen Sie einen Datenschutzbeauftragten.

Der Datenschutzbeauftragte kann ein Mitarbeiter Ihrer Organisation sein oder extern auf der Grundlage eines Dienstleistungsvertrags beauftragt werden. Ein Datenschutzbeauftragter kann eine natürliche Person oder Teil einer Organisation sein.

Verarbeitung von Daten für ein anderes Unternehmen

Ein Verantwortlicher darf nur Auftragsverarbeiter beauftragen, die hinreichende Garantien bieten; diese sind in einem schriftlichen Vertrag zwischen den beteiligten Parteien festzuhalten. Außerdem muss der Vertrag eine Reihe von zwingenden Bestimmungen enthalten, unter anderem eine Klausel, die vorsieht, dass der Auftragsverarbeiter personenbezogene Daten nur auf Weisung des Verantwortlichen verarbeiten wird.

Datenübermittlung in Länder außerhalb der EU

Werden personenbezogene Daten in Länder außerhalb der EU übermittelt, sollte der von der Datenschutz-Grundverordnung gebotene Schutz mit den Daten reisen. Um Daten ins Ausland zu exportieren, müssen Unternehmen also sicherstellen, dass bestimmte Maßnahmen eingehalten werden:

Wann ist die Verarbeitung von personenbezogenen Daten erlaubt?

Die EU-Datenschutzvorschriften schreiben vor, dass die Verarbeitung von Daten fair und rechtmäßig sein, für einen festgelegten, rechtmäßigen Zweck erfolgen und sich auf die zur Erfüllung dieses Zwecks erforderlichen Daten beschränken sollte. Sie müssen außerdem sicherstellen, dass Sie eine der folgenden Bedingungen erfüllen, um personenbezogene Daten verarbeiten zu dürfen:

Zustimmung zur Datenverarbeitung – Einwilligung

Die Datenschutz-Grundverordnung wendet strenge Regeln für die auf Einwilligung beruhende Datenverarbeitung an. Der Zweck dieser Regeln besteht darin, sicherzustellen, dass Personen verstehen, in was sie einwilligen. Daher sollte die Einwilligung freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich, in klarer und einfacher Sprache eingeholt werden. Außerdem sollte sie durch eine bestätigende Handlung erfolgen, zum Beispiel durch das Anklicken eines Kästchens im Internet oder die Unterzeichnung eines Formulars.

Wenn eine Person der Verarbeitung ihrer personenbezogenen Daten zustimmt, können Sie die Daten nur für jene Zwecke verarbeiten, zu denen die Einwilligung erfolgt ist. Sie müssen ihr außerdem die Möglichkeit geben, die Einwilligung zu widerrufen.

Bereitstellung transparenter Informationen

Unternehmen müssen Personen darüber informieren, wer die personenbezogenen Daten aus welchem Grund verarbeitet. Diese Informationen müssen mindestens folgende Aspekte beinhalten:

In einigen Fällen müssen auch folgende Angaben gemacht werden:

Die Angaben müssen klar und in verständlicher Sprache erfolgen.

Besondere Vorschriften für Kinder

Wenn Sie auf der Grundlage einer Einwilligung personenbezogene Daten eines Kindes, zum Beispiel im Zusammenhang mit einem Konto bei den sozialen Medien oder einem Downloadportal erfassen, müssen Sie zuerst die Einwilligung der Eltern einholen, z. B. durch Senden einer Mitteilung an einen Elternteil oder Erziehungsberechtigten. Wann eine Person als Kind angesehen wird, unterscheidet sich von Land zu Land; das entsprechende Alter liegt jedoch grundsätzlich zwischen 13 und 16 Jahren.

Recht auf Auskunft und Recht auf Datenübertragbarkeit

Sie müssen gewährleisten, dass die Personen das Recht auf unentgeltliche Auskunft über ihre personenbezogenen Daten haben. Wenn Sie einen entsprechenden Antrag erhalten, müssen Sie:

Außerdem können Personen, sofern die Verarbeitung auf einer Einwilligung oder einem Vertrag beruht, verlangen, dass ihre personenbezogenen Daten zurückgegeben oder an ein anderes Unternehmen übermittelt werden. Dies wird das Recht auf Datenübertragbarkeit genannt. Die Daten sollten in einem gängigen und maschinenlesbaren Format bereitgestellt werden.

Recht auf Berichtigung und auf Widerspruch

Wenn eine Person der Ansicht ist, ihre personenbezogenen Daten seien falsch, unvollständig oder unrichtig, hat sie das Recht, sie unverzüglich berichtigen oder vervollständigen zu lassen.

Falls dies der Fall ist, sollten Sie alle Datenempfänger informieren, falls personenbezogene Daten, die Sie mit Ihnen geteilt haben, geändert oder gelöscht wurden. Falls personenbezogene Daten, die Sie weitergegeben haben, falsch waren, sollten Sie auch sämtliche Personen, die diese gesehen haben, darüber informieren, dass dies der Fall war (sofern dies nicht als unverhältnismäßiger Aufwand angesehen werden kann).

Eine Person kann außerdem jederzeit der Verarbeitung ihrer personenbezogenen Daten für einen bestimmten Verwendungszweck widersprechen, wenn Ihr Unternehmen diese auf der Grundlage Ihrer berechtigten Interessen oder für eine Aufgabe des öffentlichen Interesses verarbeitet. Sofern Ihr berechtigtes Interesse das Interesse der Person nicht überwiegt, müssen Sie die Verarbeitung der personenbezogenen Daten beenden.

Ebenso kann eine Person verlangen, dass die Verarbeitung ihrer personenbezogenen Daten eingeschränkt wird, während ermittelt wird, ob Ihr berechtigtes Interesse das Interesse der Person überwiegt. Im Falle von Direktwerbung sind Sie jedoch stets verpflichtet, die Verarbeitung personenbezogener Daten auf Antrag einer Person zu beenden.

Recht auf Löschung (Recht auf Vergessenwerden)

Unter bestimmten Umständen kann eine Person vom Verantwortlichen die Löschung ihrer personenbezogenen Daten verlangen, zum Beispiel, wenn die Daten nicht mehr zur Erfüllung des Verarbeitungszwecks benötigt werden. Ihr Unternehmen ist jedoch nicht verpflichtet, einem solchen Ersuchen nachzukommen, wenn:

Automatisierte Entscheidungsfindung und Profiling

Personen haben das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden. Für diese Regel existieren jedoch einige Ausnahmen, zum Beispiel, wenn die Person der automatisierten Entscheidung ausdrücklich zugestimmt hat. Außer, wenn die automatisierte Entscheidung auf einem Gesetz beruht, muss Ihr Unternehmen:

Wenn etwa eine Bank die Entscheidung automatisiert, ob sie einer bestimmten Person ein Darlehen gewährt, sollte diese Person über die automatisierte Entscheidung informiert werden und die Möglichkeit erhalten, die Entscheidung anzufechten und ein menschliches Eingreifen zu verlangen.

Ordnungsgemäße Meldung von Datenschutzverletzungen

Eine Datenschutzverletzung liegt vor, wenn personenbezogene Daten, für die Sie verantwortlich sind, unbeabsichtigt oder unrechtmäßig gegenüber unbefugten Empfängern offengelegt werden, vorübergehend nicht verfügbar sind oder geändert werden.

Stellt eine eingetretene Datenschutzverletzung ein Risiko für die Rechte und Freiheiten von Personen dar, sollten Sie Ihre Datenschutzbehörde innerhalb von 72 Stunden informieren, nachdem Sie von der Verletzung erfahren haben.

Abhängig davon, ob eine Datenschutzverletzung ein hohes Risiko darstellt, sind Unternehmen unter Umständen überdies verpflichtet, alle von der Datenschutzverletzung betroffenen Personen zu informieren.

Beantwortung von Anträgen

Erhält Ihr Unternehmen einen Antrag einer Person, die ihre Rechte ausüben möchte, sollten Sie unverzüglich, in jedem Fall aber innerhalb eines Monats ab Eingang des Antrags, darauf antworten. Die Frist zur Beantwortung kann allerdings im Fall von komplexen oder mehrfachen Anträgen um zwei Monate verlängert werden, sofern der Antragsteller über diese Fristverlängerung in Kenntnis gesetzt wird. Zudem müssen Anträge unentgeltlich bearbeitet werden.

Wird ein Antrag abgewiesen, müssen Sie die Person über die Gründe dafür und über ihr Recht unterrichten, Beschwerde bei der Datenschutzbehörde einzulegen.

Folgenabschätzungen

Die Durchführung einer Datenschutz-Folgenabschätzung ist immer dann verpflichtend, wenn die beabsichtigte Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellen würde, zum Beispiel beim Einsatz neuer Technologien.

Ein solches hohes Risiko besteht, wenn:

Hinweis: Datenschutzbehörden können auch andere Datenkategorien als hohes Risiko einstufen.

Wenn die in der Datenschutz-Folgenabschätzung vorgesehenen Maßnahmen nicht geeignet sind, alle festgestellten Risiken zu beseitigen, muss die Datenschutzbehörde kontaktiert werden, bevor die beabsichtigte Datenverarbeitung erfolgen kann.

Führen von Verzeichnissen

Sie müssen belegen können, dass Ihr Unternehmen die Datenschutz-Grundverordnung einhält und alle geltenden Pflichten erfüllt – insbesondere auf Anfrage oder bei Prüfungen durch die Datenschutzbehörde.

Eine Möglichkeit, das zu tun, besteht in der Führung detaillierter Verzeichnisse, die u. a. folgende Punkte enthalten:

Zusätzlich sollte Ihr Unternehmen Verfahren und Leitlinien schriftlich festhalten – und regelmäßig aktualisieren –, über die auch Ihre Mitarbeiter informiert werden.

Sofern Ihr Unternehmen ein KMUen ist, müssen Sie keine Verzeichnisse Ihre Datenverarbeitungsaktivitäten führen, sofern diese:

  • nicht regelmäßig erfolgen
  • die Freiheitsrechte der beteiligten Personen nicht einschränken
  • keine sensiblen Daten oder Straftaten betreffen

Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

Der Datenschutz durch Technikgestaltung bedeutet, dass Unternehmen den Datenschutz schon frühzeitig berücksichtigen, wenn sie neue Methoden der Verarbeitung personenbezogener Daten planen. Gemäß diesem Grundsatz muss ein Verantwortlicher alle erforderlichen technischen und organisatorischen Maßnahmen treffen, um die Datenschutzgrundsätze umzusetzen und die Rechte natürlicher Personen zu schützen. Zu diesen Maßnahmen könnte zum Beispiel der Einsatz von Pseudonymisierung zählen.

Datenschutz durch datenschutzfreundliche Voreinstellungen bedingt, dass Ihr Unternehmen stets die datenschutzfreundlichste Voreinstellung wählt. Sind zum Beispiel zwei Datenschutzeinstellungen möglich, von denen eine den Zugriff auf personenbezogene Daten durch Unbefugte verhindert, so ist letztere als Voreinstellung zu verwenden.

Verstöße gegen die Vorschriften und Sanktionen

Eine Nichteinhaltung der Datenschutz-Grundverordnung kann empfindliche Geldbußen nach sich ziehen – bei bestimmten Verstößen bis zu 20 Mio. EUR oder 4 % des weltweiten Umsatzes Ihres Unternehmens. Die Datenschutzbehörde kann Unternehmen zusätzliche Abhilfemaßnahmen auferlegen, indem sie zum Beispiel die Beendigung der Verarbeitung personenbezogener Daten anordnet.

Häufig gestellt Fragen - Datenschutz und Privatsphäre im Online-Umfeld

EU-Recht

Benötigen Sie Unterstützung durch unsere Hilfsdienste?

Wenden Sie sich an unsere spezialisierten Hilfsdienste:

Unternehmensförderung vor Ort - Benötigen Sie eine Auskunft zur grenzüberschreitenden Wirtschaftstätigkeit (Ausfuhr, Expansion in einem anderen EU-Land)? Das Enterprise Europe Network beantwortet Ihre Fragen kostenlos.

Seite weiterempfehlen: