Nachschlageverzeichnisse
Kenntnisse und Fähigkeiten des DSB
Von einem Datenschutzbeauftragten werden persönliche Eigenschaften erwartet:
- Zuverlässigkeit (Gesetztestreu, korrekt, beständig)
- Unabhängigkeit (nicht in der Verantwortung gegenüber Dritte, unbestechlich)
- Verfügbarkeit (in der Lage zeitlich den aufgaben nachkommen zu können)
Weitere Eigenschaften sind von Vorteil:
- Teamfähigkeit, idealerweise mit Personalführungserfahrung
- eine hohe Stressresistenz
- Deeskalationserfahren
- fachliche Erfahrung der IT der Organisation (Infrastruktur, Arbeitsplätze, Dienste, Techniken…)
- fachliche Erfahrungen der technischen und räumlichen Umgebung (auch VPN und VLan)
- fachliche Erfahrung der IT-Security und Zugriffsberechtigungen
- Wissen um IT-Sicherheit in den Ländern die für die Organisation von Relevanz sind
- Wissen in Steuer- und Personalrecht
- Zertifikate und Weiterbildungen
Beispiel: MA geht ein Jahr ins HO, Standort Südafrika
Problem: Damit hat das Unternehmen einen Standort im Ausland, mit allen rechtlichen und wirtschaftlichen Pflichten. Die damit verbundenen Anforderungen der Unternehmens-Daten sind Umstand des DSB
Die Norm Anforderungen an Berufsprofile im Zusammenhang mit der Verarbeitung und dem Schutz personenbezogener Daten DIN EN 17740 definiert die Anforderungen an den Datenschutzbeauftragten. Das Dokument ist nicht frei erhältlich.
Der interne Status des DSB im Unternehmen
Ein DSB Ideal als Stabsstelle geeignet, da er unbeeinflusst tätig sein muss.
- Der DSB darf nicht durch Vorgen des Unternehmens beeinflusst erden
- Ein DSB hat daher einen Kündigungsschutz von 1 Jahr, wenn keine grob Fahrlässigkeit vorliegt.
Pflichten eines DSB
Die DSGVO formuliert in Art. 39 Abs. 1 DSGVO umfassende “Mindestpflichten”, die der Datenschutzbeauftragte erfüllen muss. Zusätzlich können die Mitgliedstaaten gemäß Art. 38 Abs. 6 S. 1 DSGVO dem Datenschutzbeauftragten durch nationale Regelungen oder durch die Möglichkeit zu vertraglichen Vereinbarungen weitere Pflichten auferlegen.
Die Mindestpflichten des Datenschutzbeauftragten nach der DSGVO umfassen insbesondere:
- Verschwiegenheitsflicht
- Verpflichtung der Dokumentation
- Überwachungspflicht
- Überwachung der Einhaltung der Vorgaben der DSGVO
- Überwachung der Datenschutzstrategien
- Information und Beratung
- Beratung zu Datenschutz-Folgenabschätzung
- Zusammenarbeit mit Aufsichtsbehörden
- Risikobeurteilung
Bei Nichteinhaltung der Pflichten oder grober Fahrlässigkeit kann der DSB mit Schadensersatzforderungen belegt werden.
Ab wann ist ein Mitarbeiter DSB
Dazu ist die Meldung bei der Aufsichtsbehörde nötig. Ab der Meldung ist der genannte Mitarbeiter im Status des DSB, mir geändertem Kündigungsrecht. Dadurch erledigt sich bei Überschneidung auch die Probezeit.
- Bei Selbstmeldung des DSB bei der Aufsichtsbehörde ist eine offizielle Anweisung des Vorgesetzten oder Verantwortlichen nötig. Diese muss dokumentiert sein.
- ohne diese Meldung ist der Mitarbeiter Datenschutzkoordinator
- Ausnahme: der „freiwillige“ DSB. Dieser ist nicht meldepflichtig bei der Aufsichtsbehörde, genießt aber auch keine Sonderreglungen.
Positionen der Datensicherheit
| Datenschutzkoordinator | Seit Einführung des DSGVO stehen Unternehmen von neuen rechtlichen Herausforderungen. Dabei unterstützt der Datenschutzkoordinator das Management |
| Datenschutzbeauftragter | Die EU-DSGVO von 2016 ist seit dem 25.05.2018 anzuwenden. Hierin wird ab einer Mitarbeiterzahl über 20 (aktuell ab 10 MA) ein Datenschutzbeauftragter vorgeschrieben. diese Position kann intern oder extern vergeben werden. Ein bei der Aufsichtsbehörde gemeldeter DSB erhält mit seinem Status gesonderte Rechte, aber auch Pflichten |
| Datenschutz-Auditor | Eine Weiterbildung zum Datenschutz-Auditor bedingt die erfolgreich abgelegte Prüfung zum DSB. Als Auditor mit Erfahrung und den aktuellen Prüfplänen ist es ihm möglich Unternehmen im Sinne des DSGVO zu zertifizieren |
| Sachverständiger für Datenschutz & Datensicherheit | Der Sachverständige stellt die höchste aktuelle Qualifizierung dar. Er zeichnet sich durch Sachverstand, Objektivität und Vertrauenswürdigkeit aus. Sie liefern Gutachen, Stellungnahmen und Zertifizierungen |
Die Geschichte der Datenschutzgesetze
Vor 40 Jahren wurde die erste Fassung des Bundesdatenschutzgesetzes verabschiedet. Um mit der technischen Entwicklung Schritt zu halten, ist es seitdem mehrfach reformiert worden.
| Herbst 1970 | Als erstes Bundesland verabschiedete Hessen ein Landesdatenschutzgesetz. Mithilfe des Gesetzes sollten unter anderem elektronisch verarbeitete Daten vor dem Zugriff durch Unbefugte geschützt und die Stelle eines Datenschutzbeauftragten als unabhängige Kontrollinstanz geschaffen werden. |
| 27. Januar 1977 | Das Bundesdatenschutzgesetz wird unter dem Titel Gesetz zum Schutz vor Missbrauch personenbezogener Daten bei der Datenverarbeitung verabschiedet |
| 1981 | Weitere Bundesländer folgten dem Beispiel Hessens. Landesdatenschutzgesetze waren ab 1981 für alle Bundesländer beschlossen. |
| 15.12.1983 | verkündete das Bundesverfassungsgericht (BVerfG) das sogenannte „Volkszählungsurteil“. Darin leitete das BVerfG aus dem Grundgesetz (Artikel 1 Absatz 1 Würde des Menschen und Artikel 2 Absatz 1 Freie Entfaltung der Persönlichkeit) das „Recht auf informationelle Selbstbestimmung“ ab. |
| 1990 | In der Folge kam es zu einer Novellierung des Bundesdatenschutzgesetzes, dieses trug dazu bei, „den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird“ (Paragraf 1). |
| 1995 | wurde die Festlegung der europäischen Datenschutzrichtlinien verabschiedet und festgelegt. |
| 2001 und 2006 | Novellierung des BDSG |
| 27.04.2016 | EU-Verordnung (2016/679) des europäischen Parlaments und Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG |
| 25.05.2018 | In Kraft treten des DSGVO und BDSG-neu |
Privatsphäre und Datenschutzgesetz
| Charta der Grundrechte der EU | Europäische Menschenrechtskonvention |
|---|---|
| Vertrag von Lissabon (AEUV) | Ratifizierung durch Mitgliederstaaten |
| Artikel 7: Privatleben, Familienleben, Wohnung, Kommunikation | Artikel 8: schützt Privatleben, Familienleben, Wohnung, Kommunikation |
| Artikel 8: begründet ein gesondertes Recht auf Datenschutz | Artikel 8: beinhaltet das Recht auf Datenschutz (Privatleben) |
| Die Grundrechtecharta | Europäische Menschenrechtskonvention |
Gesetz vs Richtlinien
Datenschutzrichtlinien: https://www.datenschutz.org/eu-datenschutzrichtlinie/
- finden keine direkte Anwendung
- Geringe Harmonisierung
- 31 nationale Datenschutzgesetzte mit einer Vielzahl von Abweichungen
Datenschutz-Grundverordnung (DSGVO): https://dsgvo-gesetz.de/
- findet direkte Anwendung
- Vollständige Harmonisierung
- nationales Recht kann klarstellen, präzisieren und ergänzen
Grundsätzlich gilt
- EU-Recht: Das DSGVO muss für Mitgliederstaaten der EU, EWR und EFTA immer umgesetzt werden.
- Bundesrecht: Das Bundesdatenschutzgesetz (BDSG) ist ein Zusatz zum DSGVO. Ab Teil 5, §45 gilt es nur für Justitz und Behörden. Die Teile 1-44 richten sich auch an Bürger.
- Länderrecht: Das Landesdatenschutzgesetz: LDSG ist nur für Behörden bestimmt, dort aber verpflichtend. Jedes der 16 Bundesstaaten kann eigene Ausführungen in ihrer Version haben → https://dsgvo-gesetz.de/ldsg/
- Kirchliches Datenschutzgesetz: DKG ist eine für Kirchen in Deutschland geschaffene Erweiterung des DSGVO
Ein Unternehmen kann grundsätzlich entscheiden ob nach welcher DSGVO-Erweiterung vorgegangen werden soll. Siehe: DKG
Weitere Literatur:
Vergleich europäischer Institutionen
EFTA
Die Europäische Freihandelsassoziation EFTA umfasst derzeit die vier Staaten Island, Liechtenstein, Norwegen und die Schweiz. Die EFTA wurde im Jahr 1960 gegründet. Viele der damaligen Gründungsstaaten sind seither der Europäischen Union beigetreten. Die EFTA-Staaten Norwegen, Liechtenstein und Island bilden zusammen mit den EU-Staaten den Europäischen Wirtschaftsraum (EWR). Der europäische Binnenmarkt umfasst somit insgesamt 31 Staaten. Das EFTA-Land Schweiz ist nicht am EWR beteiligt.
EU
Mitgliedstaaten der Europäischen Union sind: Belgien, Bulgarien, Dänemark, Deutschland, Estland, Finnland, Frankreich, Griechenland, Irland, Italien, Kroatien, Lettland, Litauen, Luxemburg, Malta, die Niederlande, Österreich, Polen, Portugal, Rumänien, Schweden, die Slowakei, Slowenien, Spanien, die Tschechische Republik, Ungarn und Zypern.
EWR
Der Europäische Wirtschaftsraum (EWR) umfasst die Mitgliedsstaaten der Europäischen Union, ferner Island, Liechtenstein und Norwegen.
Personen im Datenschutz
Laut DSGVO werden im Datenschutz drei Personen genannt
- Der Betroffene (Natürliche Person, wie Mitarbeiter, Kunde, Lieferant, …) → ist die wichtigste Person
- Verantwortlicher und Auftragsverarbeiter → bestimmen die Durchführung, Zweck und Mitten. sie sind haftbar
- Dritte → das sind die Empfänger der personenbezogenen Daten (zB Krankenkasse)
Es gibt natürliche Personen (nach BGB §1), Behörden und juristische Personen. Das DSGVO gilt nur für natürliche Personen
Art1 DSGVO: Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
Begriffsbestimmungen
nach Art.4 DSGVO → https://dsgvo-gesetz.de/art-4-dsgvo/
Das RETTER-Prinzip
R.E.T.T.E.R. steht für:
- Zuständigkeit klären. DSB, ISB, QMB oder IT-Abeilung
- Werden personenbezogenen Daten verarbeitet (Art.1 DSGVO)
- Liegt eine rechtliche Grundlage zur Erhebung, Verarbeitung und/oder Nutzung vor (Art.6 DSGVO)
- Ist eine schriftliche Einwilligungder Betroffenen notwendig/vorhanden? (Art.7 DSGVO)
- Sind die getroffenen technisch-organisatorischen Massnahmen (TOMs) angemessen und wirkungsvoll (Art.32 DSGVO)
- Können die Rechte der Betroffenen eingehalten werden (Art.15 bis 21 DSGVO)
- Wurde ein Verarbeitungsverzeichnis erstellt (Art.30 DSGVO)
- Ist eine DSFA (Datenschutz-Folgeabschätzung) notwendig? (Art.35 DSGVO)
Die Rechenschaftspflicht
Die Rechenschaftspflicht ist in Art. 5 Abs. 2 DSGVO verankert. Hiernach ist der Verantwortliche für die Einhaltung der in Art. 5 Abs. 1 DSGVO aufgezählten Grundsätze (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit) verantwortlich und muss deren Einhaltung nachweisen können. Was aber steckt nun hinter dieser verantwortungsschweren Aussage?
Umfang der Rechenschaftspflicht
Die Rechenschaftspflicht lässt sich in zwei einzelne Pflichten gliedern: Einerseits folgt hieraus die Verantwortlichkeit. Diese findet sich im sog. risikobasierten Ansatz wieder (Art. 24 Abs. 1 DSGVO). Er besagt, dass sich Art und Umfang der vom Verantwortlichen zu ergreifenden datenschutzrechtlichen Maßnahmen nach dem Ergebnis einer Risikoanalyse richten sollen. Produziert eine Fabrik also lediglich Gewürzgurken, ist das Risiko eines Datenschutzvorfalls wesentlich geringer als in einem Krankenversicherungsunternehmen, in dem viel mehr und sensiblere Daten verarbeitet werden. Die erforderlichen Maßnahmen sind fortlaufend zu überprüfen und zu aktualisieren. Wird der Gewürzgurkenproduzent also international tätig oder und wird aus der o.g. Fabrik fortan die gesamte Mitarbeiterverwaltung gesteuert und bewertet, so müssen der Standort und die Datenverarbeitung in Zukunft auch stärker geschützt werden.
Andererseits folgt aus der Rechenschaftspflicht die sog. Nachweispflicht, die vor allem auf die Erbringung von Nachweisen gegenüber der Aufsichtsbehörde abzielt (Art. 58 Abs. 1 lit. a) DSGVO). Kontaktiert die Aufsichtsbehörde also ein Unternehmen und verlangt Auskunft darüber, ob dieses denn auch die Daten seiner Kunden datenschutzkonform aufbewahrt, so muss das Unternehmen in irgendeiner Form diese Frage beantworten können. Das Gesetz legt dabei keine bestimmte Form des Nachweises fest, sondern überlasst es dem Verantwortlichen, wie er dieser Pflicht nachkommt.
Praktische Umsetzung
Die Umsetzung der Rechenschaftspflicht sollte entsprechend der o.g. Verantwortlichkeit und Nachweispflicht in zwei Schritten erfolgen. Es sollte also zunächst eine Risikoanalyse vorgenommen werden, die dann den Umfang der zu dokumentierende Nachweise festlegt.
Wenn die Risikoanalyse ergeben hat, dass ein relativ hohes datenschutzrechtliches Risiko besteht, weil die Firma z. B. als soziales Netzwerk die Daten von Mitgliedern verschiedener Parteien verarbeitet, kann sich zunächst die Einführung eines Datenschutzmanagementsystems (DSMS) anbieten. Ein solches DSMS bietet den Vorteil, dass bspw. im Kontaktfall durch die Aufsichtsbehörde, schnell und effizient auf deren Nachfragen reagiert werden kann. Beim Aufbau eines solchen kann man sich an vorhandenen Compliance-Managementsystemen wie z. B. einem Qualitäts-Service-Management-System (QSMS) orientieren. Denkbar ist es auch, das DSMS in bestehende Compliancesysteme zu integrieren.
Im Einzelnen tragen u.a. die folgenden Maßnahmen zur Erfüllung der Rechenschaftspflicht bei:
- Aufbau einer internen Datenschutzrichtlinie (Inhalt: Anwendungsumfang der Richtlinie, Verantwortlichkeiten des Mitarbeiters/Managements, Datenschutzvorfallmeldung, Konsequenzen der Nichteinhaltung der Richtlinie, etc.)
- verbindliche interne Datenschutzvorschriften (Binding Corporate Rules – BCR) gem. Art. 47 Abs. 1, 2 DSGVO (Beispiel.: Der o.g. Gewürzgurkenkonzern unterhält weltweit mehrere Standorte. Damit die Standorte in und außerhalb der EU miteinander z. B. ihre Personaldaten austauschen dürfen, müssen für die Dependancen außerhalb der EU verbindliche, interne Datenschutzvorschriften erstellt und angewendet werden. Diese werden von der zuständigen Aufsichtsbehörde genehmigt.)
- Technikgestaltung, Art. 25 Abs. 1 DSGVO/datenschutzfreundliche Voreinstellungen, Art. 25 Abs. 2 DSGVO
- zur Technikgestaltung: Das im Gewürzgurkenkonzern verwendete Mitarbeiterverwaltungsprogramm pseudonymisiert die Daten der Mitarbeiter direkt nach der Erfassung (Erwägungsgrund 78 DSGVO).
- zu datenschutzfreundlichen Voreinstellungen: Das Social-Media-Profil des Gewürzgurkenkonzerns enthält schon bei seiner Erstellung die datenschutzfreundlichsten Voreinstellungen der jeweiligen Plattform.
- Erstellung eines Verarbeitungsverzeichnisses ( 30 Abs. 1 und 2 DSGVO)
- Durchführung einer Datenschutz-Folgenabschätzung (Art. 35 Abs. 1 und 3 DSGVO)
- Bestellung eines Datenschutzbeauftragten (Art. 37 DSGVO)
- Dokumentation von Datenschutzverletzungen ( 33 Abs. 5 DSGVO)
- Einhaltung genehmigter Verhaltensregeln/Zertifizierungsverfahren ( 24 Abs. 3 DSGVO)
- zu Verhaltensregeln: Der Verband europäischer Gewürzgurkenhersteller erlässt eine Verhaltensregel, nach welchen Datenschutzstandards mit Daten in den Mitgliedsunternehmen zu verfahren ist, (Art 40 DSGVO).
- zu Zertifizierungsverfahren: Das Gewürzgurkenunternehmen erhält nach entsprechender Überprüfung seiner Datenschutzcompliance das Zertifikat EuroPriSe (European Privacy Seal) (Art. 42 Abs. 1 DSGVO). Das Unternehmen kann dieses Zertifikat bei einer Überprüfung durch die Aufsichtsbehörde vorweisen.
Weitere Beispiele, wie man seiner Nachweispflicht nachkommen kann, hält auch die Artikel-29-Datenschutzgruppe in ihrem Arbeitspapier Nr. 173 vor.
Wenn sich der Unternehmer nun selbst fragt, ob er der Nachweispflicht in genügender Weise entsprochen hat, so sollte er sich die Frage stellen, ob er alle Prozesse, bei denen personenbezogene Daten erhoben und verarbeitet werden, hinreichend dokumentiert hat.
Haftungsrisiken hinsichtlich der Rechenschaftspflicht
Wer angesichts dieses doch recht herausfordernden Pensums der Rechenschaftspflicht den Kopf in den Sand steckt oder die Verantwortung von sich weisen will, ist schlecht beraten. Es sollte jedem Verantwortlichen klar sein, dass er auch dann haftet, wenn die Verarbeitung der personenbezogenen Daten nicht durch ihn selbst, sondern durch einen Dienstleister erfolgt (Erwägungsgrund 74 DSGVO). Sprich: Nur weil die Datenschutzverletzung nicht im eigenen Unternehmen, sondern z. B. bei einem Subunternehmer erfolgt, heißt das noch nicht, dass das Unternehmen von der Haftung befreit ist. Im Übrigen kann sich der Unternehmer auch nicht dadurch der Haftung entziehen, dass er einen Datenschutzbeauftragten bestellt.
Im Übrigen kommt eine Haftung durch eine Beschwerde einer betroffenen Person bei der zuständigen Aufsichtsbehörde nach Art. 77 DSGVO in Betracht. Ist eine Person mit dem Ergebnis des Beschwerdeverfahrens nicht einverstanden, so kann sie das Untersuchungsergebnis auch gerichtlich angreifen (Art. 78 Abs. 1 und 2 DSGVO).
Natürlich findet bei nicht ausreichender Dokumentation im Ernstfall auch eine Sanktionierung durch die Aufsichtsbehörde statt. Bußgelder können bis zu 20 Mio. Euro oder 4 % des weltweiten Umsatzes des Unternehmens betragen, je nachdem welcher Betrag höher ist (Art. 83 Abs. 5 DSGVO).
Die spannendste Diskussion in diesem Bereich unter Datenschutzrechtlern ist derzeit, ob die in Art. 5 Abs. 1 DSGVO genannten Grundsätze ebenso wie die Rechenschaftspflicht auch gerichtlich einklagbar sind. Stellt ein Betroffener also fest, dass ein Unternehmen ihm keine Auskunft zu seinen Daten geben kann, weil einfach keine entsprechenden Dokumentations- bzw. Auskunftsmöglichkeiten vorliegen, so könnte er auf die Idee kommen, den Unternehmer für die Verletzung seiner Nachweispflicht gerichtlich zu verklagen. Ob das möglich ist und wenn ja, wie, wird in Zukunft wohl letztlich der Europäische Gerichtshof beantworten müssen.
Das Kompendium des BSI
TOM
Technische und organisatorische Maßnahmen (TOM) sind durch die DSGVO (Datenschutz-Grundverordnung) vorgeschriebene Maßnahmen, die die Sicherheit der Verarbeitung personenbezogener Daten gewährleisten sollen. TOM umfassen ein Bündel bestimmter Instrumente, mit denen Unternehmen den Datenschutz gewährleisten müssen. Eine professionelle Datenschutz-Dokumentation ist dabei für den Verantwortlichen verpflichtend. Der Kern dieser Verpflichtung findet sich in Art. 25 Datenschutzgrundverordnung (DSGVO).
§ 9 BDSG (alte Fassung) definiert technisch-organisatorische Maßnahmen und benennt konkret folgende Bereiche:
- Zutrittskontrolle: Der physische Zutritt zu Datenverarbeitungsanlagen wie einem Serverraum muss durch Zutrittskontrolle verhindert werden. Mögliche Mittel sind elektronische Zugangssysteme oder Pförtner.
- Zugangskontrolle: Dritte dürfen auch keinen digitalen Zugriff auf Datenverarbeitungsanlagen erhalten. Dies kann durch Verschlüsselungen, Mehr-Faktor-Authentifizierungen oder strenge Passwortverfahren erfolgen.
- Zugriffskontrolle: Durch strenge Berechtigungskonzepte wird sichergestellt, dass unbefugte Dritte keinen Schreib- oder Lesezugang zu sensiblen Daten erhalten. Auch die Möglichkeit, Daten unbefugt zu kopieren oder zu löschen darf nicht gegeben sein.
- Weitergabekontrolle: Durch ausreichende Verschlüsselungen wird verhindert, dass sensible Daten unbefugten Dritten auch dann nicht offen gelegt werden, wenn diese z.B. gerade übertragen werden. Hier dürfen unberechtigte Dritte ebenfalls weder die Möglichkeit zum Lesen, Verändern, Kopieren oder Löschen der Daten erhalten.
- Eingabekontrolle: Protokollierungssysteme erfassen jeden Zugriff auf personenbezogene Daten und ermöglichen jede Änderung oder Löschung nachzuvollziehen.
- Auftragskontrolle: AV-Verträge regeln die Datenverarbeitung durch auf diese Weise befugte Dritte den Regelungen des Auftraggebers entsprechend.
- Verfügbarkeitskontrolle: Firewalls und Backups sind nur zwei der Möglichkeiten, um Daten vor ungewünschten Verlusten und Angriffen zu schützen und zudem zu gewährleisten, dass die Daten im Verlustfall wiederhergestellt werden können.
- Trennungsgebot: Der Einsatz separater Systeme soll gewährleisten, dass für unterschiedliche Zwecke erhobene Daten nur für den jeweiligen Erhebungszweck verwendet werden.
Mittels einer Risikoanalyse muss abgeklärt werden für welche Unternehmen bestimmte Maßnahmen relevant sind.
Links und Dokumente
Auftragsverarbeitung
Auftragsverarbeitung im datenschutzrechtlichen Sinne liegt nur in Fällen vor, in denen eine Stelle von einer anderen Stelle im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt wird.
Auftragsverarbeiter
Der Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Nr. 8 DSGVO)
AVV
Ein Auftragsverarbeitungsvertrag (AVV) wird nötig, wenn personenbezogene Daten im Auftrag an Dritte weitergegeben und von ihnen verarbeitet oder genutzt werden. Die rechtlichen Vorschriften zur Datenweitergabe sind in der EU-Datenschutz-Grundverordnung (DSGVO) festgelegt.
Siehe: https://dsgvo-gesetz.de/themen/auftragsverarbeitung/
Was muss ein AV-Vertrag beinhalten
Die einzelnen Rechte und Pflichten beider Parteien bei der Auftragsverarbeitung regelt Art. 28 DSGVO. Die dort aufgeführten Mindestanforderungen müssen im AV-Vertrag enthalten sein, sie können und sollten einzelfallbezogen vertraglich ausgestaltet bzw. auf den jeweiligen Dienstleister und seine Tätigkeiten angepasst werden:
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Art der personenbezogenen Daten, Kreis betroffener Personen
- Umfang der Weisungsbefugnisse
- Pflichten und Rechte des Verantwortlichen
- Pflichten des Auftragsverarbeiters:
- Verarbeitung nach dokumentierter Weisung,
- Wahrung der Vertraulichkeit bzw. Verschwiegenheit,
- Ergreifung geeigneter Maßnahmen für die eigene Sicherheit der Verarbeitung,
- Rechtmäßige Hinzuziehung von Subunternehmen,
- Unterstützung des Verantwortlichen bei der Beantwortung von Anträgen betroffener Personen,
- Unterstützung des Verantwortlichen bei der Einhaltung dessen Pflichten aus Art. 32 bis 36 DSGVO,
- Ergreifung geeigneter Maßnahmen für die Sicherheit der Verarbeitung (Art. 28 III 2 lit. f DS-GVO i.V.m. Art. 32 DSGVO),
- Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Art. 28 III 2 lit. f DS-GVO i.V.m Art. 33 DS-GVO),
- Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person (Art. 28 III 2 lit. f DS-GVO i.V.m Art. 34 DS-GVO),
- Durchführung einer Datenschutz-Folgenabschätzung (Art. 28 III 2 lit. f DS-GVO i.V.m Art. 35 DS-GVO),
- Konsultierung der Aufsichtsbehörde bei Verarbeitung mit hohen Risiken (Art. 28 III 2 lit. f DS-GVO i.V.m Art. 36 DS-GVO).
- Löschung oder Rückgabe nach Beendigung des Auftrags,
- Zurverfügungstellung von Informationen und Ermöglichung von Überprüfungen
- Wichtiger Bestandteil des Vertrages ist eine Anlage zu den technischen und organisatorischen Maßnahmen, mit denen der
- Auftragnehmer Datenschutzund Datensicherheit der ihm überlassenen Daten gewährleistet.
Wann liegt Auftragsverarbeitung vor und wann nicht
| Auftragsverarbeitung im Sinne von Art. 4 Nr. 8 DSGVO | Keine Auftragsverarbeitung im Sinne von Art. 4 Nr. 8 DSGVO |
|---|---|
| DV-technische Arbeiten für die Lohn- und Gehaltsabrechnung oder die Finanzbuchhaltung durch Rechenzentren | Tätigkeiten der Berufsgeheimnisträger (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer), |
| Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing,ohne dass ein inhaltlicher Datenzugriff des Cloud-Betreibers erforderlich ist | Inkassobüros mit Forderungsübertragung |
| Werbeadressenverarbeitung in einem Lettershop | Bankinstitute für den Geldtransfer |
| Verarbeitung von Kundendaten durch ein Callcenter ohne wesentliche eigene Entscheidungsspielräume | Postdienste für den Brief- oder Pakettransport |
| Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten | Tätigkeit als WEG-Verwalter |
| Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten | Detektive bei ihrer Observierungs-/ Überwachungs-/ Ausforschungstätigkeit |
| Auslagerung der Backup-Sicherheitsspeicherung und anderer Archivierungen | Hersteller und Großhändler, die von Einzelhändlern für mit Endkunden vereinbarte Direktlieferungen die Endkundenadressen erhalten (beauftragte Warenzusendung) |
| Datenträgerentsorgung durch Dienstleister | Blumen- oder Weinversender, die eine Liste mit Adressdaten zur Versendung der Blumen- bzw. Weingeschenke an dritte Personen erhalten (beauftragte Warenzusendung) |
| Prüfung oder Wartung (z. B. Fernwartung, externer Support) automatisierter Verfahren oder von Datenverarbeitungsanlagen, wenn bei diesen Tätigkeiten ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann | Insolvenzverwalter |
| Zentralisierung bestimmter „Shared Services-Dienstleistungen“ innerhalb eines Konzerns, wie Dienstreisen-Planungen oder Reisekostenabrechnungen (jedenfalls sofern kein Fall gemeinsamer Verantwortlichkeit nach Art. 26 DS-GVO vorliegt) | Personalvermittlung nach Auftrag von Stellensuchenden oder Arbeitgebern |
| Apothekenrechenzentren nach § 300 SGB V | Internet-Plattformbetreiber zur Vermittlung zwischen Anbietern und Nachfragern, die sich auf der Plattform treffen können |
| ärztliche und zahnärztliche Verrechnungsstellen ohne Forderungsverkauf | TKG-Dienstleistungen, es sei denn, darüber hinausgehende Zusatzdienste wie Auslagerung einer betrieblichen Telefonanlage oder Cloudspeicherlösungen usw. |
| Sicherheitsdienste, die an der Pforte Besucher- und Anliefererdaten erheben | Versicherungs-/ Finanzmakler, -vermittler im Rahmen des Kundenvertrags |
| externe Personen, Dienstleister, usw., die im Auftrag Messwerte in Mietwohnungen (Heizung, Strom, Wasser etc.) ablesen und oder erfassen bzw. verarbeiten | Übersendung von Schulungsteilnehmer-Daten zur Durchführung der Schulung an einen externen Trainer, Schulungsveranstalter oder an das Tagungshotel |
| Wisabeschaffungsdienstleister, die hierfür vom Arbeitgeber die Beschäftigtendaten erhalten | Fertigung individueller medizinischer Produkte, Hilfsmittel, Prothesen etc. für Patienten/ Kunden im Auftrag von Ärzten, Zahnärzten, Apotheken, Sanitätshäusern usw |
| Medizinische Labore, Materiallabore usw. (Materialuntersuchung im Auftrag) | |
| Zahlungsdienstleister für elektronische Zahlungen (Transport von Zahlungsdaten, Geldwäsche- und Betrugsprüfung nach ZAG und den Mindestanforderungen der BaFin) | |
| von Reisebüros aufgrund Kundenvertrags vermittelte Leistungsanbieter, wie Hotels, Mietwagenfirmen, Fluggesellschaften, Busunternehmen, Versicherungen usw. | |
| Handelsvertreter im Rahmen ihrer Beratungstätigkeit und Vertragsvermittlungen |
Weitere Infos:
Angemessenheitsbeschluss
Je nach Land greifen unterschiedliche Beschlüsse:
| EU und EWR | Privilegierte | Dritte | Unternehmensgruppen |
|---|---|---|---|
| Art. 28 DSGVO | Art. 45 DSGVO | Art. 46 DSGVO | Art. 47 DSGVO |
| AVV | Siehe Liste der Länder | Vertrag zwischen EU und Drittländer | Inhalte müssen laut Art. 47 beschrieben werden. Aufsichtsbehörde muss genehmigen |
Die Europäische Kommission kann gemäß Art. 45 Abs. 3 DS-GVO sogenannte Angemessenheitsbeschlüsse fassen. Hierin stellt sie fest, dass personenbezogene Daten in einem bestimmten Drittland (oder in einem bestimmten Gebiet oder Sektor) einen mit dem Europäischen Datenschutzrecht vergleichbaren adäquaten Schutz genießen. Hat die Europäische Kommission einen entsprechenden Angemessenheitsbeschluss gefasst, so dürfen personenbezogene Daten, sofern die sonstigen Bestimmungen der DS-GVO eingehalten werden, ohne weitere Genehmigung an das jeweilige Land übermittelt werden. Datentransfers auf der Grundlage eines Angemessenheitsbeschlusses sind folglich privilegiert: Sie werden solchen innerhalb der EU gleichgestellt.
Derzeit existieren Angemessenheitsbeschlüsse für die Übermittlung personenbezogener Daten in folgende Drittländer (Stand 04 2022):
Datenschutz Folgeabschätzung
Die Datenschutz-Folgenabschätzung ist für zahlreiche öffentliche und nichtöffentliche Stellen, die Daten erheben, verarbeiten und nutzen, mit Wirksamkeit der Datenschutz-Grundverordnung (DSGVO) ab Mai 2018 verbindlich. Maßgebliches Ziel der Datenschutz-Folgenabschätzung ist die systematische Vorabbewertung von Risiken für die Rechte und Freiheiten der Betroffenen, die einzelne Verarbeitungsvorgänge mit sich bringen. Darüber hinaus sollen nach Artikel 35 DSGVO im Rahmen der Datenschutz-Folgenabschätzung auch Strategien entwickelt werden, die die Verminderung von Risiken in jedem Einzelfall zum Ziel haben.
Die entsprechenden Grundlagen finden sich in Artikel 35 DSGVO. Im Allgemeinen handelt es sich um eine optimierte und strukturierte Risikoanalyse. Nach Artikel 35 Absatz 7 DSGVO muss eine Datenschutz-Folgenabschätzung mindestens folgende Inhalte haben:
- exakte Beschreibung der geplanten Verarbeitungsvorgänge und der jeweiligen Verarbeitungszwecke sowie etwaiger berechtigter Interessen des Verantwortlichen
- Evaluierung von Notwendigkeit und Verhältnismäßigkeit der Erhebung personenbezogener Daten bezogen auf den jeweiligen Zweck
- Evaluierung von Risiken für die Freiheiten sowie Rechte der Betroffenen
- Geplante Abhilfemaßnahmen, mit deren Hilfe die Risiken bewältigt werden können (Garantien, Sicherheitsvorkehrungen, Verfahren)
Nicht jedes Unternehmen muss eine Datenschutz-Folgenabschätzung vornehmen. Die DSGVO nennt einzelne Beispielfälle, in denen die Vorabkontrolle erfolgen muss. Maßgeblich sind dies nach Artikel 35 Absatz 3 DSGVO öffentliche und nichtöffentliche Stellen, die:
- mit Scoringverfahren (z. B. Wirtschaftsauskunfteien) arbeiten oder ähnliche Datenverarbeitungen zum Zwecke des Profiling vornehmen oder
- besondere Arten personenbezogener Daten in erheblichem Umfang speichern, verarbeiten und nutzen (auch bezogen auf strafrechtliche Verurteilungen und Straftaten)
- systematisch und umfangreich öffentliche Räume überwachen (vor allem per Videoüberwachung)
Weitere Infos
- Eine Checkliste: datenschutz-folgenabschaetzung-checkliste.pdf
-
Schutzeinstufung
Die Landesdatenschutzbeauftragten haben ein Schutzstufenmodell entwickelt, das folgende Schutzstufen unterscheidet
Schutzeinstufung personenbezogene Daten
| Schutzstufe | Anforderung |
|---|---|
| Stufe A | Frei zugängliche Daten, in die Einsicht gewährt wird, ohne dass der Einsichtnehmende ein berechtigtes Interesse geltend machen muss, z. B. Daten, die die verantwortliche Stelle im Internet oder in Broschüren veröffentlicht bzw. in öffentlich zugänglichen Verzeichnissen zur Verfügung stellt. |
| Stufe B | Personenbezogene Daten, deren Missbrauch zwar keine besondere Beeinträchtigung erwarten lässt, deren Kenntnisnahme jedoch an ein berechtigtes Interesse des Einsichtnehmenden gebunden ist, z. B. interne Telefon-Durchwahlnummern, interne Zuständigkeiten. |
| Stufe C | Personenbezogene Daten, deren Missbrauch den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigen kann (Stichwort: Beeinträchtigung des Ansehens), z. B. Daten über Vertragsbeziehungen, Höhe des Einkommens, etwaige Sozialleistungen, Ordnungswidrigkeiten. |
| Stufe D | Personenbezogene Daten, deren Missbrauch die gesellschaftliche Stellung oder die wirtschaftlichen Verhältnisse des Betroffenen erheblich beeinträchtigen kann (Stichwort: soziale Existenz), z. B. Unterbringung in Anstalten, Straffälligkeit, dienstliche Beurteilungen, psychologisch-medizinische Untersuchungsergebnisse, Schulden, Pfändungen, Insolvenzen. |
| Stufe E | Daten, deren Missbrauch Gesundheit, Leben oder Freiheit des Betroffenen beeinträchtigen kann (Stichwort: physische Existenz), z.B. Adressen von verdeckten Ermittlern, Adressen von Personen, die mögliche Opfer einer Straftat sein können. |
Schutzeinstufung betriebswirtschaftliche Daten
| Schutzstufe | Anforderung |
|---|---|
| Stufe A | Die betriebswirtschaftlichen Daten sind frei zugänglich, müssen aber richtig sein. |
| Stufe B | Interne betriebswirtschaftliche Daten. Ein Missbrauch verursacht keine besondere Beeinträchtigung der betrieblichen Funktion oder der Umweltbeziehungen des Unternehmens. |
| Stufe C | Ein Missbrauch von betriebswirtschaftlichen Daten kann die betriebliche Funktion, die Umweltbeziehungen oder das Ansehen des Unternehmens erheblich beeinträchtigen. |
| Stufe D | Ein Missbrauch kann die finanzielle oder marktwirtschaftliche Situation oder die Existenz eines Unternehmens erheblich beeinträchtigen. |
Schutzzieleinstufung
| Schutzgrad | Verfügbarkeit | Integrität | Vertraulichkeit | Authentizität | Revisionsfähigkeit |
|---|---|---|---|---|---|
| 1 | Allgemeine Verfügbarkeit: Keine zeitkritischen Verfahren, keine besonderen Anforderungen an die Verfügbarkeit bzw. Wiederherstellung der Verfügbarkeit. Die Wiederherstellung unterliegt den allgemeinen Regeln zur Datensicherung | Ungesicherte Integrität: Die Daten unterliegen keinen besonderen Maßnahmen zur Sicherung der Integrität. | Öffentlich: Es bestehen keine Anforderungen an die Vertraulichkeit. | Eine Nachweisbarkeit der Authentizität ist nicht gefordert. | Keine Anforderungen an die Revisionsfähigkeit des Datenverarbeitungsverfahrens. |
| 2 | Definierte Verfügbarkeit: Zeitkritische Verfahren mit definierten Anforderungen an die Verfügbarkeit bzw. Wiederherstellung der Verfügbarkeit. Ein Sicherungs- und Rekonstruktionskonzept muss vorhanden sein. | Geschützte Integrität: Der Verlust der Integrität kann zu einer Störung der betrieblichen Funktionen führen. In den Verfahren müssen Vorkehrungen zum Schutz der Daten vor unbefugten Veränderungen und Datenverlusten eingerichtet sein, z. B. ein Berechtigungssystem, Passwortschutz, Schreibsperre etc. | Intern: Die Informationen dürfen nur intern verwendet und nicht an Dritte weitergegeben werden. | Kontrollierbare Authentizität: Der Verlust der Authentizität kann zu einer Störung der betrieblichen Funktionen führen. Es muss nachvollziehbar sein, dass nur berechtigte Personen die Daten erzeugt bzw. eingestellt und ggf. geändert haben, z. B. durch Berechtigungsprofile. | Allgemeine Anforderungen: Es bestehen keine erhöhten Anforderungen an die Revisionsfähigkeit. Dokumentation und Nachvollziehbarkeit der Datenverarbeitungsverfahren und der Datenverarbeitung unterliegen den allgemeinen Regelungen. |
| 3 | Hochverfügbar: Businesskritische Daten und Verfahren mit besonders hohen Ansprüchen an Verfügbarkeit und Wiederherstellung. Ein Notfallplan und ein Sicherungs- und Rekonstruktionskonzept müssen vorhanden sein. | Nachprüfbare Integrität: Der Verlust der Integrität kann empfindliche Schäden verursachen. In den Verfahren müssen Vorkehrungen zum Nachweis des Schutzes der Integrität vorgesehen sein, z. B. Protokollierung von Änderungen, Prüfsummen etc. | Vertraulich: Die Daten sind nur einem bestimmten oder bestimmbaren Personenkreis zugänglich. | Beweisbare Authentizität: Der Verlust der Authentizität kann zu empfindlichen Schäden führen. Es muss nachvollziehbar sein, wer die Daten wann erzeugt bzw. eingestellt und ggf. geändert hat, z. B. durch Protokollierungen. | Erhöhte Anforderungen: Die Nachvollziehbarkeit und Prüfbarkeit der Verfahren und der Datenverarbeitung unterliegen erhöhten Anforderungen. Entwicklung, Testung, Freigabe, Administration, Anwendung der Verfahren, die Integrität der Programme und die Verarbeitung der Daten müssen dokumentiert und nachvollziehbar sein. |
| 4 | Signierte Integrität: Die Integrität der Daten muss beweisbar sein, z. B. bei Urkunden oder elektronischen Rechnungen. Die Integrität der Daten muss durch eine qualifizierte elektronische Signatur oder ein vergleichbar sicheres Verfahren gewährleistet sein. | Streng vertraulich: Die Daten sind nur einem namentlich festgelegten Personenkreis zugänglich. | Signierte Authentizität: Die Authentizität muss unverfälschbar nachgewiesen werden können, z. B. bei Urkunden. Der Nachweis muss durch eine elektronische Signatur oder ein vergleichbar sicheres Verfahren geführt werden können. | Höchste Anforderungen: Die Nachvollziehbarkeit und Prüfbarkeit der Verfahren und der Datenverarbeitung unterliegen nochmals erhöhten Ansprüchen. Die Unveränderbarkeit von Programmen, Dokumentationen, Administrations- und Verarbeitungsproto-kollen und sonstigen Aufzeichnungen sowie die Nachvollziehbarkeit der Verarbeitung der Daten muss gegeben und die Gewährleistung der Revisionsfähigkeit in einem Konzept beschrieben sein. |
Nach dem Standard-Datenschutzmodell (SDM 2.0a) ergibt sich der Schutzbedarf aus dem Risiko der Verarbeitungstätigkeit, bevor ein Verantwortlicher technische und organisatorische Maßnahmen bestimmt und umgesetzt hat. Insofern gilt der folgende Zusammenhang zwischen Risikohöhe, im Sinne eines Ausgangsrisikos, und Schutzbedarfsstufe:
- kein oder geringes Risiko der Verarbeitung: normaler Schutzbedarf für von der Verarbeitung betroffene Personen
- normales Risiko der Verarbeitung: normaler Schutzbedarf für von der Verarbeitung betroffene Personen
- hohes Risiko der Verarbeitung: hoher Schutzbedarf für von der Verarbeitung betroffene Personen
Besondere Kategorien personenbezogener Daten
Eine wichtige Rolle spielen dabei die Kategorien der Daten. Als besondere Kategorien personenbezogener Daten nennt die DSGVO in Artikel 9 personenbezogene Daten,
- aus denen die rassische und ethnische Herkunft,
- politische Meinungen,
- religiöse oder weltanschauliche Überzeugungen oder
- die Gewerkschaftszugehörigkeit hervorgehen,
- sowie genetische Daten,
- biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person,
- Gesundheitsdaten und
- Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.
Sofern die Verarbeitung solcher Daten überhaupt zulässig ist, müssen Sie besondere Schutzmaßnahmen ergreifen.
Checkliste: schutzeinstufung-von-daten.docx
Weitere Informationen: Was ist Informationssicherheit von HAUFE
Verzeichnis von Verarbeitungstätigkeiten (VVT)
Die DSGVO schreibt Unternehmen vor, ein Verzeichnis von Verarbeitungstätigkeiten (VVT) zu führen und vorzuhalten (Art. 30 DSGVO). Dieses Verzeichnis ähnelt dem sogenannten Verfahrensverzeichnis des alten Bundesdatenschutzgesetzes (BDSG-alt). Wer also bereits vor der Geltung der DSGVO ein Verfahrensverzeichnis geführt hat, kann auf dessen Grundlage das Verzeichnis von Verarbeitungstätigkeiten aufbauen und weiterentwickeln.
Ein Verstoß gegen Artikel 30 DSGVO, zieht ein Bußgeld von bis zu 10 Mio€ (bis zu 2% des Jahresumsatz) nach sich.
Tipp: Immer eine ausgedruckte Version griffbereit haben
Von der Pflicht zum Führen eines Verzeichnisses von Verarbeitungstätigkeiten wird eine eingeschränkte Ausnahme bei Einrichtungen mit weniger als 250 Mitarbeitern gemacht (Art. 30 Abs. 5 DSGVO). Folgende Einschränkungen werden an diese Ausnahme geknüpft:
- Es darf kein Risiko für die Rechte und Freiheiten der betroffenen Person bestehen (z. B. Videoüberwachung).
- Die Verarbeitung darf nur gelegentlich erfolgen.
- Es darf keine Verarbeitung von personenbezogenen Daten der besonderen Kategorien nach Art. 9 DSGVO erfolgen (z. B. Gesundheitsdaten).
Inhalt des VVT
Das VVT gliedert sich idealerweise in zwei übergeordnete Blöcke:
Block 1: Namen und Kontaktdaten
Das VVT beginnt mit den Namen und Kontaktdaten des Verantwortlichen und seines Vertreters und alle gemeinsam Verantwortliche („Joint Control“), wie z.B. Headhunter, Internet-Fanseiten. Sofern ein Datenschutzbeauftragter benannt wurde ist dessen Name und Kontaktdaten auch aufzuführen.
Block 2: Die einzelnen Verarbeitungstätigkeiten
Eine Verarbeitungstätigkeit ist ein Vorgang, bei dem personenbezogene Daten für einen oder mehrere Zwecke verarbeitet werden. Beispiele: Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Verändern, Auslesen, Abfragen, Verwenden, Übermitteln, Verbreiten, Bereitstellen, Abgleichen oder Verknüpfen von Daten.
Hierzu muss auch geklärt werden, welche Software verwendet wird, und welche davon personenbezogenen Daten beispielsweise automatisch verarbeitet. Wird auch auf US-Dienstleister als Auftragsverarbeiter zurückgegriffen. Beides darf bei der Auflistung der Verarbeitungstätigkeiten auf jeden Fall nicht vergessen werden. Dabei hilft das Turtle-Modell
Typische Verarbeitungsprozesse, die in eigentlich jedem Unternehmen vorkommen, sind etwa:
- Personalverwaltung
- Lohn- und Gehaltsabrechnung
- Bewerbermanagement
Es kann auch sinnvoll sein, die Verarbeitungstätigkeiten in übergeordnete Gruppen einzuteilen, etwa:
- Buchhaltung
- Personal
- Marketing
- Kunden
- IT
Angaben zu den einzelnen Verarbeitungstätigkeiten
Der Inhalt und die erforderlichen Angaben der einzelnen Verarbeitungstätigkeiten ergeben sich für den Verantwortlichen aus Art. 30 Abs. 1 DSGVO. Demnach gehören zu jeder Verarbeitungstätigkeit:
- Zwecke der Verarbeitung
- Kategorien betroffener Personen (z. B. Beschäftigte, Bewerber, Kunden, Patienten, Minderjährige)
- Kategorien personenbezogener Daten (z. B. Kontaktdaten, Adressdaten, Umsatzdaten), insbesondere, ob es besondere Kategorien sind (z. B. Gesundheitsdaten)
- Kategorien von Empfängern der personenbezogenen Daten (z. B. bei Lohn- und Gehaltsabrechnung: Banken, Sozialversicherungsträger, Finanzamt)
- Angabe des Drittlands oder internationaler Organisation bei Übermittlung ins Nicht-EU-Ausland, ggf. samt geeigneter Garantien eines gleichwertigen Datenschutzniveaus
- Löschfristen, auch unter Beachtung von Aufbewahrungspflichten
- Beschreibung der technischen und organisatorischen Maßnahmen (TOMs) und/oder Verweis auf vorhandenes Sicherheitskonzept mit TOMs
Auftragsverarbeiter müssen nur die Kategorien von Verarbeitungen, die im Auftrag eines Verantwortlichen durchgeführt werden, aufführen (Art. 30 Abs. 2 DSGVO). Zudem müssen sie keine Löschfristen in ihrem VVT dokumentieren.
Form, Sprache und Aktualisierung
Das VVT ist schriftlich zu führen, wozu auch ein elektronisches Format, etwa eine Excel-Tabelle, gezählt wird. Die Aufsichtsbehörde kann, wenn das VVT vorgelegt werden muss, jedoch entscheiden, ob sie es elektronisch oder ausgedruckt verlangt. Das VVT muss in der regional geltenden Amtssprache geführt werden.
Das VVT muss regelmäßig gepflegt und aktuell gehalten werden. Zusätzlich sollte das VVT auch in regelmäßigen Abständen auf die Aktualität aller Einträge überprüft werden.
Checkliste
- Bin ich Verantwortlicher oder Auftragsverarbeiter?
- Brauche ich ein VVT oder falle ich unter die Ausnahme?
- Nenne ich die Namen und Kontaktdaten aller erforderlichen Personen?
- Habe ich alle Verarbeitungstätigkeiten meines Unternehmens im VVT aufgeführt?
- Als Verantwortlicher: Gebe ich die Zwecke der Verarbeitung, die Kategorien betroffener Personen, Daten und Empfänger an?
- Gebe ich Löschfristen an? Verarbeite ich Daten der besonderen Kategorien (Art. 9 DSGVO)?
- Als Auftragsverarbeiter: Gebe ich die Kategorien von Verarbeitungen an?
- Übermittle ich Daten ins Nicht-EU-Ausland, etwa indem ich US-Dienstleister nutze, und führe das im VVT aus?
- Werden die TOMs beschrieben und/oder auf ein Sicherheitskonzept verwiesen?
- Ist das VVT auch in Deutsch verfügbar und kann im Zweifel ausgedruckt werden?
- Aktualisiere und prüfe ich das VVT regelmäßig?
Weitere Info
—-
Datenschutzverletzung
Was tun bei einer bekannten Datenschutzverletzung
Zuerst gilt zu klären ob es sich um einen Datenschutzverstoß oder Datenschutzpanne handelt
Datenschutzverstoß
Unter Datenschutzverstoß versteht man jeden Verstoß gegen die DSGVO. Unterschieden wird je nach Schwere des Verstoßes zwischen Ordnungswidrigkeiten und Straftaten.
Datenschutzverletzung
Eine Datenschutzverletzung liegt nur dann vor, wenn es dabei um eine „Verletzung des Schutzes personenbezogener Daten“ geht. Diese liegt im Sinne von Art. 33 DSGVO und Art 4 Nr. 12 DSGVO nur dann vor, wenn es sich um eine Verletzung der Sicherheit handelt, die ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. Eine Datenschutzverletzung wird umgangssprachlich auch als Datenschutzpanne bezeichnet.
Liegt ein solcher Fall vor, handelt es sich um einen meldepflichtigen Verstoß gegen den Datenschutz. Dies ist in Art. 33 der DSGVO geregelt. Die DSGVO legt also sowohl fest, wer den Datenschutzverstoß melden muss, als auch innerhalb welcher Frist die Meldung vorgenommen werden muss. Wer Verantwortlicher im Sinne der DSGVO ist, wird im Art. 4 Nr. 7 definiert. Dementsprechend ist derjenige verantwortlich, der über die Zwecke und Mittel der Verarbeitung entscheidet.
Beispiele für Datenschutzverletzungen
| Vorfall | Meldepflicht an Behörde | Informationspflicht an Betroffene | Anmerkung |
|---|---|---|---|
| Gestohlener USB-Stick mit wirksam verschlüsselten Daten | Nein | Nein | Kein Art.-33-Fall aufgrund der Verschlüsselung |
| Datenzugriff durch CyberAttacke | Ja | Ja | Informationspflicht ist abhängig von den Daten |
| Stromausfall | Nein | Nein | interne Dokumentation nach Art. 33 Abs. 5 |
| Ransomware-Attacke (Verschlüsselung) | Ja | Ja | Außer die Daten können zügig wiederhergestellt werden |
| Kontoauszug an falschen Kunden verschickt | Ja | Nein | wenn es ein Einzelfall ist |
| Hacker erbeuten Nutzernamen, Passwörter und Kaufhistorie der Kunden eines Onlineshops | Ja | Ja | |
| Kunden können aufgrund eines Programmierfehlers im Kundenportal fremde Kundendaten einsehen | Ja | Ja | wenn Daten abgeflossen sind |
| Cyber-Attacke auf Krankenhaus, dadurch für 30 Minuten kein Zugriff auf Patientendaten | Ja | Ja | |
| Versehentliche Versendung von Schülerdaten an eine Mailingliste | Ja | Ja | in der Regel, es gibt Ausnahmen |
| Werbe-E-Mail mit offenem Mailverteiler (cc statt bcc) | Ja | Ja | bei sensiblen Inhalt |
Checkliste
Datenschutzverstöße melden
Um einen Verstoß zu melden, muss sich der Verantwortliche an die zuständige Datenschutzbehörde wenden. Je nachdem wo die personenbezogenen Daten unzulässig verarbeitet wurden und welche Stelle für die Datenpanne verantwortlich ist, ändert sich auch die zuständige Behörde.
Weiter müssen die betroffenen Personen unverzüglich informiert werden. Hierfür ist jedoch eine Bewertung der Art und des Umfangs des Datenschutzvorfalls, sowie der damit verbundenen Risiken für betroffenen Personen notwendig. Zudem müssen weitere Informationen gemäß Art. 33, 34 DSGVO bereitgestellt werden. Diese Informationen benötigen Sie, um entscheiden zu können, ob eine Meldung gegenüber der Betroffenen und/oder der Behörde notwendig ist und um die entsprechende Meldung vorzubereiten.
Reaktionsplan
Der Reaktionsplan ist die Dokumentation der „Best-Practice“ Vorgehensweise und dient als Vorlage und Checkliste. Sie sollte folgende Schritte enthalten:
- Schnelle Kenntniserlangung von Datenpannen
- Bewertung
- Maßnahmen zur Abwendung/Eindämmung
- Entscheidung ob eine Meldung erfolgen soll
- Meldung an die Aufsichtsbehörde oder den Betroffenen
Form
Der Vorfall kann der zuständigen Aufsichtsbehörde telefonisch, per Mail, Fax oder in Briefform zugestellt werden. Eine Übertragung mit Protokoll ist empfehlenswert, wie zB Fax, oder Mail mit MDN und DSN. Bei der Übermittlung als Brief ist der Eingangsstempel wichtig für die Meldefrist.
Die Betroffenen müssen laut Erwägungsgrund 86 informiert werden.
Fristen
- Die Verletzung des Schutzes personenbezogener Daten ist gegenüber der zuständigen Datenschutzbehörde binnen 72 Stunden zu melden, wenn aufgrund der Verletzung ein Risiko für die Rechte und Freiheiten betroffener Personen besteht.
- Gegenüber betroffenen Personen muss unverzüglich Meldung erfolgen, wenn ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen zu erwarten ist.
Wie geht es weiter
- die Bedrohung schließen lassen
- den Vorfall Dokumentieren
- neue Arbeitsanweisung und Richtlinien ausgeben oder auf bestehende hinweisen
- Datenschutzrichtlinien anpassen/erweitern
- Schulungen organisieren
- Information der Massnahmen an die zuständige Datenschutzbehörde (Transparenz)
Bußgelder und Sanktionen
Der Ausgangspunkt für Bußgelder bei Datenschutzverstößen ist der Art. 83 DSGVO. Das Neues Bußgeldkonzept der DSK konkretisiert den Kriterienkatalog
Kategorisierung
Die Maximalstrafe für DSGVO-Verstöße liegt bei 20 Millionen Euro oder 4 % des Jahresumsatzes – je nachdem, welcher Betrag höher ist. (Art. 83 Abs. 4 und 5 DSGVO). Die Basis bei der Bemessung der DSGVO-Bußgelder ist also der jährliche Umsatz eines Unternehmens. Dafür werden die Organisationen in einem ersten Schritt in vier Größenklassen unterteilt:
- A: Kleinstunternehmen mit einem Jahresumsatz bis 2 Mio. Euro
- B: Kleine Unternehmen mit einem Jahresumsatz über 2 bis 10 Mio. Euro
- C: Mittlere Unternehmen mit einem Jahresumsatz über 10 bis 50 Mio. Euro
- D: Großunternehmen mit einem Jahresumsatz über 50 Mio. Euro
Bestimmung des mittleren Jahresumsatzes
Im zweiten Schritt erfolgt dann die Bestimmung des mittleren Jahresumsatzes der jeweiligen Unterkategorie. Der mittlere Jahresumsatz ist die Grundlage für die Ermittlung des wirtschaftlichen Grundwertes. Beispiele:
- Für das Unternehmen der Größenklasse B.II ist der mittlere Jahresumsatz auf 6,25 Mio. Euro festgelegt,
- Für das Großunternehmen der Kategorie D.IV ist der mittlere Jahresumsatz auf 250 Mio. Euro festgelegt.
Ermittlung des wirtschaftlichen Grundwertes
Mit der Formel für die Festsetzung des wirtschaftlichen Grundwertes wird nun der mittlere Jahresumsatz durch 360 Tage geteilt. Im Ergebnis entsteht ein durchschnittlicher Tagessatz. Beispiele:
- Der durchschnittliche Tagessatz für das Unternehmen der Größenklasse B.II beläuft sich auf rund 17.361 Euro.
- Der durchschnittliche Tagessatz für das Großunternehmen (D.IV) beläuft sich auf 694.444 Euro.
Multiplikation des Grundwertes nach Schweregrad der Tat
Hier zeigt das Bußgeld-Konzept anhand einer weiteren Tabelle auf, mit welchem Faktor der durchschnittliche Tagessatz multipliziert wird. Orientierungspunkte für die Festlegung des Faktors bei DSGVO-Strafen ist der Schweregrad – leicht, mittel, schwer oder sehr schwer – und die Einordnung in formelle bzw. materielle DSGVO-Verstöße. Beispiele:
- Bei einem schweren materiellen Verstoß eines Unternehmens der Größenklasse B.II kann der Faktor 8 bis 12 durchschnittliche Tagessätze zur Anwendung kommen.
- Bei einem leichten formellen Verstoß eines Großunternehmens der Kategorie D.IV kann der Faktor 1 bis 2 durchschnittliche Tagessätze zum Tragen kommen.
Anpassung des Grundwertes
Die Anpassung des Grundwertes erfolgt anhand aller sonstigen für und gegen den Betroffenen sprechenden Umstände. In diesem Schritt werden noch einmal alle tatbezogenen Umstände erwogen und können – zum Beispiel bei drohender Zahlungsunfähigkeit eines Unternehmens – Einfluss auf den Grundwert nehmen.
Weitere Links
Daten ehemaliger Mitarbeiter
Die DSGVO bestimmt, dass Daten nur nach den Grundsätzen der Rechtmäßigkeit, der Zweckbindung und der Datenminimierung gespeichert werden dürfen. Personenbezogene Daten dürfen also nur so lange aufbewahrt werden, wie sie zu dem vom Nutzer ursprünglich preisgegebenen Zweck erforderlich sind (Art. 17 Abs. 3 DSGVO). Es kann aber ein berechtigtes Interesse vorliegen wenn Mitarbeiter noch Ansprüche aus dem Arbeitsverhältnis haben. Das sei zum Beispiel der Fall, wenn Mitarbeiter
- eine Betriebsrente bekommen,
- noch Anspruch auf Vergütung für nicht genommenen Urlaub haben oder
- noch eine Vergütung von Überstunden bekommen.
Alle dafür relevanten Daten dürfen Arbeitgeber aufbewahren. Gleiches gelte, wenn Betriebe mit ihren Mitarbeitern im Arbeitsvertrag ein nachvertragliches Wettbewerbsverbot vereinbart hatten.
Löschfristen
Gehaltsunterlagen isnd sechs bis zehn Jahre aufzubewahren.
Die Sechs-Jahres-Frist gilt etwa für Lohnkonten, Reisekostenabrechnungen und Fahrtenbücher. Lohnunterlagen, die auch für die Gewinnermittlung von Bedeutung sind, dürfen erst nach zehn Jahren vernichtet werden.
Arbeitszeitnachweise sind sechs Jahre aufzubewahren. Bei besonderen Arbeitszeitdokumentationen nach dem Arbeitszeit- und Mindestlohngesetz beträgt die Aufbewahrungspflicht zwei Jahre rückwirkend. Das gilt auch bei Minijobbern.
Der Auskunftspflicht nachkommen
Nach Art. 15 Abs. 1 DSGVO haben betroffene Personen das Recht, von Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ist das der Fall, haben die betroffenen Personen ein Recht auf Auskunft über diese Daten und darüber hinausgehende Informationen zu deren Verarbeitung.
Zunächst können betroffene Personen von dem Verantwortlichen eine Bestätigung darüber verlangen, ob überhaupt personenbezogene Daten von ihnen verarbeitet werden. Werden keine personenbezogenen Daten eines Antragstellers verarbeitet, ist der Antragsteller darüber zu informieren (sog. „Negativauskunft„). Werden personenbezogene Daten eines Antragstellers verarbeitet, hat dieser grundsätzlich ein Recht auf Auskunft über diese Daten. Zusätzlich hat der Verantwortliche nach Art. 15 Abs. 1 DSGVO auch die folgenden Informationen bereitzustellen:
- Verarbeitungszwecke
- Kategorien personenbezogener Daten, die verarbeitet werden
- Empfänger bzw. Kategorien von Empfängern, die diese Daten bereits erhalten haben oder künftig erhalten werden
- geplante Speicherdauer falls möglich, andernfalls die Kriterien für die Festlegung der Speicherdauer
- Rechte auf Berichtigung, Löschung oder Einschränkung der Verarbeitung
- Widerspruchsrecht gegen diese Verarbeitung
- Beschwerderecht für die betroffene Person bei der Aufsichtsbehörde
- Herkunft der Daten, soweit diese nicht bei der betroffenen Person selbst erhoben wurden
- das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling mit aussagekräftigen Informationen über die dabei involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen solcher Verfahren
Werden personenbezogene Daten in Drittländer übermittelt, haben betroffene Personen darüber hinaus nach Art. 15 Abs. 2 DSGVO das Recht, über die in Zusammenhang mit der Datenübermittlung getroffenen geeigneten Garantien gemäß Art. 46 DSGVO (z.B. vereinbarte EU-Standardvertragsklauseln oder verbindliche interne Datenschutzvorschriften) informiert zu werden.
Wer ist berechtigt Auskunft zu verlangen?
Die Auskunft ist nach Art. 15 DSGVO nur der betroffenen Person zu erteilen. Diese kann eine dritte Person mit der Ausübung bevollmächtigen oder gem. Art. 80 DSGVO eine der dort genannten Organisationen mit der Rechtsausübung beauftragen. Der Verantwortliche muss dafür sorgen, dass Daten nicht in die „falschen Hände“ gelangen und ggf. die Identität überprüfen. Werden Auskünfte ohne Berechtigung erteilt, liegt regelmäßig eine Datenpanne nach Art. 33 DSGVO vor.
Wie ist das Auskunftsrecht durchzusetzen?
Nach Art. 12 Abs. 1 DSGVO können die Informationen
- schriftlich,
- auf elektronischem Wege
- oder, auf Verlangen der betroffenen Person, mündlich
erteilt werden. Erfolgt die Auskunftserteilung mündlich, muss die Identität der betroffenen Person jedoch in anderer Form nachgewiesen werden. Wenn die betroffene Person den Antrag auf Auskunftserteilung elektronisch stellt, sind die zur Verfügung zu stellenden Informationen gemäß Art. 15 Abs. 3 DSGVO in einem gängigen elektronischen Format zur Verfügung zu stellen (z.B. als PDF). In Erwägungsgrund 63 zur DSGVO heißt es diesbezüglich, dass der Verantwortliche nach Möglichkeit den Fernzugang zu einem sicheren System bereitstellen können sollte, der der betroffenen Person direkten Zugang zu ihren personenbezogenen Daten ermöglichen würde. In jedem Fall ist bei der Auskunftserteilung darauf zu achten, dass angemessene Sicherheitsanforderungen eingehalten werden.
Fristen
Wenn eine betroffene Person von ihrem Auskunftsrecht Gebrauch macht, sind ihr die zu erteilenden Informationen gemäß Art. 12 Abs. 3 DSGVO unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung zu stellen. Diese Frist kann in komplexen Fällen um zwei Monate verlängert werden. Über Fristverlängerungen ist die betroffene Person unter Angabe der für die Verzögerung verantwortlichen Gründe innerhalb eines Monats nach Eingang ihres Antrags zu informieren.
Wird die Monatsfrist versäumt, kann ggf. ein Anspruch auf Schadensersatz entstehen, wenn der Betroffene sich aufgrund des Verzuges (der ohne Mahnung eintritt) einen Anwalt nimmt, um seinen Anspruch durchsetzen.
Häufigkeit und Kosten
Nach Art. 15 Abs. 3 DSGVO hat der Verantwortliche der betroffenen Person eine Kopie der personenbezogenen Daten zur Verfügung zu stellen, die Gegenstand der Verarbeitung sind. Nach Art. 12 Abs. 5 DSGVO hat der Verantwortliche diese Informationen grundsätzlich kostenlos zur Verfügung zu stellen.
Verlangt der Betroffene weitere Kopien, kann der Verantwortliche gemäß Art. 15 Abs. 3 DSGVO ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen.
Auskunft verweigern
Gemäß Erwägungsgrund 63 zur Datenschutz-Grundverordnung kann der Verantwortliche verlangen, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor eine Auskunftserteilung zu erfolgen hat. Gemäß Art. 15 Abs. 4 DSGVO kann von einer Auskunftserteilung ausnahmsweise auch dann abgesehen werden, wenn dies die Rechte und Freiheiten anderer Personen beeinträchtigen würde.
Weiter kann die Auskunft nach § 34 BDSG verweigert werden, wenn
- die Daten nur noch aufgrund gesetzlicher Aufbewahrungsvorschriften gespeichert bleiben müssen und eine Auskunft unverhältnismäßig aufwendig wäre (§ 34 Abs. 1 Nr. 2a BDSG),
- wenn es sich ausschließlich um Archiv- und Protokollierungsdaten handelt und eine Auskunft unverhältnismäßig aufwendig wäre (§ 34 Abs. 1 Nr. 2 b BDSG) oder
- wenn ein Interesse an Geheimhaltung besteht (§ 34 Abs. 1 i.V.m. § 29 Abs. 1 Satz 2 BDSG).
Die Ablehnungsgründe müssen gemäß § 34 Abs. 2 BDSG dokumentiert werden und der Betroffene informiert, soweit nicht durch die Mitteilung der tatsächlichen und rechtlichen Gründe, auf die die Entscheidung gestützt wird, der mit der Auskunftsverweigerung verfolgte Zweck gefährdet würde.
Was müssen Verantwortliche beachten
Für Verantwortliche empfiehlt es sich, rechtzeitig organisatorische Vorkehrungen zu treffen, um Auskunftsersuchen schnell und vollständig beantworten zu können. Denn gemäß der Art. 12 Abs. 1 und Art. 5 Abs. 2 DSGVO haben Verantwortliche bereits vorbereitend geeignete organisatorische Maßnahmen zu treffen, um betroffenen Personen beantragte Auskünfte fristgerecht und in einer geeigneten Form zur Verfügung zu stellen.
Quelle: https://www.dr-datenschutz.de/auskunftsrecht-dsgvo-wissen-fuer-betroffene-unternehmen/
Übungen
- Übungsbeispiel: Hase&Igel
- Präsentation VVT: Wir brauchen eine VVT und DSGVO und personenbezogene Daten
Links
Was ist ein ODT?
Das ist das Libre-Office (früher Open-Office)Dateiformat. Es kann mit dem aktuellen MS-Word geöffnet, bearbeitet und dann als native Word-Datei gespeichert werden. Zum Generieren der vollständigen Datei, einfach auf den ODT-Button klicken und eine Minute warten (Die Konversation dauert etwas) viel Spass damit :)
P.S. Die Seite als PDF „ausdrucken“ lassen funktioniert natürlich auch
~~ODT~~