Von einem Datenschutzbeauftragten werden persönliche Eigenschaften erwartet:

• Zuverlässigkeit (Gesetztestreu, korrekt, beständig)
• Unabhängigkeit (nicht in der Verantwortung gegenüber Dritte, unbestechlich)
• Verfügbarkeit (in der Lage zeitlich den aufgaben nachkommen zu können)

Weitere Eigenschaften sind von Vorteil:

• Teamfähigkeit, idealerweise mit Personalführungserfahrung
• eine hohe Stressresistenz
• Deeskalationserfahren
• fachliche Erfahrung der IT der Organisation (Infrastruktur, Arbeitsplätze, Dienste, Techniken…)
• fachliche Erfahrungen der technischen und räumlichen Umgebung (auch VPN und VLan)
• fachliche Erfahrung der IT-Security und Zugriffsberechtigungen
• Wissen um IT-Sicherheit in den Ländern die für die Organisation von Relevanz sind
• Wissen in Steuer- und Personalrecht
• Zertifikate und Weiterbildungen

Beispiel: MA geht ein Jahr ins HO, Standort Südafrika
Problem: Damit hat das Unternehmen einen Standort im Ausland, mit allen rechtlichen und wirtschaftlichen Pflichten. Die damit verbundenen Anforderungen der Unternehmens-Daten sind Umstand des DSB

Die Norm Anforderungen an Berufsprofile im Zusammenhang mit der Verarbeitung und dem Schutz personenbezogener Daten DIN EN 17740 definiert die Anforderungen an den Datenschutzbeauftragten. Das Dokument ist nicht frei erhältlich.

Ein DSB Ideal als Stabsstelle geeignet, da er unbeeinflusst tätig sein muss.

• Der DSB darf nicht durch Vorgen des Unternehmens beeinflusst erden
• Ein DSB hat daher einen Kündigungsschutz von 1 Jahr, wenn keine grob Fahrlässigkeit vorliegt.

Die DSGVO formuliert in Art. 39 Abs. 1 DSGVO umfassende “Mindestpflichten”, die der Datenschutzbeauftragte erfüllen muss. Zusätzlich können die Mitgliedstaaten gemäß Art. 38 Abs. 6 S. 1 DSGVO dem Datenschutzbeauftragten durch nationale Regelungen oder durch die Möglichkeit zu vertraglichen Vereinbarungen weitere Pflichten auferlegen.
Die Mindestpflichten des Datenschutzbeauftragten nach der DSGVO umfassen insbesondere:

• Verschwiegenheitsflicht
• Verpflichtung der Dokumentation
• Überwachungspflicht
  • Überwachung der Einhaltung der Vorgaben der DSGVO
  • Überwachung der Datenschutzstrategien
• Information und Beratung
• Beratung zu Datenschutz-Folgenabschätzung
• Zusammenarbeit mit Aufsichtsbehörden
• Risikobeurteilung

Bei Nichteinhaltung der Pflichten oder grober Fahrlässigkeit kann der DSB mit Schadensersatzforderungen belegt werden.

Dazu ist die Meldung bei der Aufsichtsbehörde nötig. Ab der Meldung ist der genannte Mitarbeiter im Status des DSB, mir geändertem Kündigungsrecht. Dadurch erledigt sich bei Überschneidung auch die Probezeit.

• Bei Selbstmeldung des DSB bei der Aufsichtsbehörde ist eine offizielle Anweisung des Vorgesetzten oder Verantwortlichen nötig. Diese muss dokumentiert sein.
• ohne diese Meldung ist der Mitarbeiter Datenschutzkoordinator
• Ausnahme: der „freiwillige“ DSB. Dieser ist nicht meldepflichtig bei der Aufsichtsbehörde, genießt aber auch keine Sonderreglungen.

Vor 40 Jahren wurde die erste Fassung des Bundesdatenschutzgesetzes verabschiedet. Um mit der technischen Entwicklung Schritt zu halten, ist es seitdem mehrfach reformiert worden.

Datenschutzrichtlinien: https://www.datenschutz.org/eu-datenschutzrichtlinie/

• finden keine direkte Anwendung
• Geringe Harmonisierung
  • 31 nationale Datenschutzgesetzte mit einer Vielzahl von Abweichungen

Datenschutz-Grundverordnung (DSGVO): https://dsgvo-gesetz.de/

• findet direkte Anwendung
• Vollständige Harmonisierung
  • nationales Recht kann klarstellen, präzisieren und ergänzen

• EU-Recht: Das DSGVO muss für Mitgliederstaaten der EU, EWR und EFTA immer umgesetzt werden.
• Bundesrecht: Das Bundesdatenschutzgesetz (BDSG) ist ein Zusatz zum DSGVO. Ab Teil 5, §45 gilt es nur für Justitz und Behörden. Die Teile 1-44 richten sich auch an Bürger.
• Länderrecht: Das Landesdatenschutzgesetz: LDSG ist nur für Behörden bestimmt, dort aber verpflichtend. Jedes der 16 Bundesstaaten kann eigene Ausführungen in ihrer Version haben → https://dsgvo-gesetz.de/ldsg/
• Kirchliches Datenschutzgesetz: DKG ist eine für Kirchen in Deutschland geschaffene Erweiterung des DSGVO

Ein Unternehmen kann grundsätzlich entscheiden ob nach welcher DSGVO-Erweiterung vorgegangen werden soll. Siehe: DKG

Weitere Literatur:

• Die Datenschutzgrundverordnung, Stand 2022
• Die Datenschutz­beauftragten in Behörden und Betrieben
• Broschüren des BFDI

Die Europäische Freihandelsassoziation EFTA umfasst derzeit die vier Staaten Island, Liechtenstein, Norwegen und die Schweiz. Die EFTA wurde im Jahr 1960 gegründet. Viele der damaligen Gründungsstaaten sind seither der Europäischen Union beigetreten. Die EFTA-Staaten Norwegen, Liechtenstein und Island bilden zusammen mit den EU-Staaten den Europäischen Wirtschaftsraum (EWR). Der europäische Binnenmarkt umfasst somit insgesamt 31 Staaten. Das EFTA-Land Schweiz ist nicht am EWR beteiligt.

Mitgliedstaaten der Europäischen Union sind: Belgien, Bulgarien, Dänemark, Deutschland, Estland, Finnland, Frankreich, Griechenland, Irland, Italien, Kroatien, Lettland, Litauen, Luxemburg, Malta, die Niederlande, Österreich, Polen, Portugal, Rumänien, Schweden, die Slowakei, Slowenien, Spanien, die Tschechische Republik, Ungarn und Zypern.

Der Europäische Wirtschaftsraum (EWR) umfasst die Mitgliedsstaaten der Europäischen Union, ferner Island, Liechtenstein und Norwegen.

Laut DSGVO werden im Datenschutz drei Personen genannt

• Der Betroffene (Natürliche Person, wie Mitarbeiter, Kunde, Lieferant, …) → ist die wichtigste Person
• Verantwortlicher und Auftragsverarbeiter → bestimmen die Durchführung, Zweck und Mitten. sie sind haftbar
• Dritte → das sind die Empfänger der personenbezogenen Daten (zB Krankenkasse)

Es gibt natürliche Personen (nach BGB §1), Behörden und juristische Personen. Das DSGVO gilt nur für natürliche Personen Art1 DSGVO: Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.

nach Art.4 DSGVO → https://dsgvo-gesetz.de/art-4-dsgvo/

R.E.T.T.E.R. steht für:

• Zuständigkeit klären. DSB, ISB, QMB oder IT-Abeilung
• Werden personenbezogenen Daten verarbeitet (Art.1 DSGVO)
• Liegt eine rechtliche Grundlage zur Erhebung, Verarbeitung und/oder Nutzung vor (Art.6 DSGVO)
• Ist eine schriftliche Einwilligungder Betroffenen notwendig/vorhanden? (Art.7 DSGVO)
• Sind die getroffenen technisch-organisatorischen Massnahmen (TOMs) angemessen und wirkungsvoll (Art.32 DSGVO)
• Können die Rechte der Betroffenen eingehalten werden (Art.15 bis 21 DSGVO)
• Wurde ein Verarbeitungsverzeichnis erstellt (Art.30 DSGVO)
• Ist eine DSFA (Datenschutz-Folgeabschätzung) notwendig? (Art.35 DSGVO)

Die Rechenschaftspflicht ist in Art. 5 Abs. 2 DSGVO verankert. Hiernach ist der Verantwortliche für die Einhaltung der in Art. 5 Abs. 1 DSGVO aufgezählten Grundsätze (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit) verantwortlich und muss deren Einhaltung nachweisen können. Was aber steckt nun hinter dieser verantwortungsschweren Aussage?

Die Rechenschaftspflicht lässt sich in zwei einzelne Pflichten gliedern: Einerseits folgt hieraus die Verantwortlichkeit. Diese findet sich im sog. risikobasierten Ansatz wieder (Art. 24 Abs. 1 DSGVO). Er besagt, dass sich Art und Umfang der vom Verantwortlichen zu ergreifenden datenschutzrechtlichen Maßnahmen nach dem Ergebnis einer Risikoanalyse richten sollen. Produziert eine Fabrik also lediglich Gewürzgurken, ist das Risiko eines Datenschutzvorfalls wesentlich geringer als in einem Krankenversicherungsunternehmen, in dem viel mehr und sensiblere Daten verarbeitet werden. Die erforderlichen Maßnahmen sind fortlaufend zu überprüfen und zu aktualisieren. Wird der Gewürzgurkenproduzent also international tätig oder und wird aus der o.g. Fabrik fortan die gesamte Mitarbeiterverwaltung gesteuert und bewertet, so müssen der Standort und die Datenverarbeitung in Zukunft auch stärker geschützt werden.

Andererseits folgt aus der Rechenschaftspflicht die sog. Nachweispflicht, die vor allem auf die Erbringung von Nachweisen gegenüber der Aufsichtsbehörde abzielt (Art. 58 Abs. 1 lit. a) DSGVO). Kontaktiert die Aufsichtsbehörde also ein Unternehmen und verlangt Auskunft darüber, ob dieses denn auch die Daten seiner Kunden datenschutzkonform aufbewahrt, so muss das Unternehmen in irgendeiner Form diese Frage beantworten können. Das Gesetz legt dabei keine bestimmte Form des Nachweises fest, sondern überlasst es dem Verantwortlichen, wie er dieser Pflicht nachkommt.

Die Umsetzung der Rechenschaftspflicht sollte entsprechend der o.g. Verantwortlichkeit und Nachweispflicht in zwei Schritten erfolgen. Es sollte also zunächst eine Risikoanalyse vorgenommen werden, die dann den Umfang der zu dokumentierende Nachweise festlegt.

Wenn die Risikoanalyse ergeben hat, dass ein relativ hohes datenschutzrechtliches Risiko besteht, weil die Firma z. B. als soziales Netzwerk die Daten von Mitgliedern verschiedener Parteien verarbeitet, kann sich zunächst die Einführung eines Datenschutzmanagementsystems (DSMS) anbieten. Ein solches DSMS bietet den Vorteil, dass bspw. im Kontaktfall durch die Aufsichtsbehörde, schnell und effizient auf deren Nachfragen reagiert werden kann. Beim Aufbau eines solchen kann man sich an vorhandenen Compliance-Managementsystemen wie z. B. einem Qualitäts-Service-Management-System (QSMS) orientieren. Denkbar ist es auch, das DSMS in bestehende Compliancesysteme zu integrieren.

Im Einzelnen tragen u.a. die folgenden Maßnahmen zur Erfüllung der Rechenschaftspflicht bei:

• Aufbau einer internen Datenschutzrichtlinie (Inhalt: Anwendungsumfang der Richtlinie, Verantwortlichkeiten des Mitarbeiters/Managements, Datenschutzvorfallmeldung, Konsequenzen der Nichteinhaltung der Richtlinie, etc.)
• verbindliche interne Datenschutzvorschriften (Binding Corporate Rules – BCR) gem. Art. 47 Abs. 1, 2 DSGVO (Beispiel.: Der o.g. Gewürzgurkenkonzern unterhält weltweit mehrere Standorte. Damit die Standorte in und außerhalb der EU miteinander z. B. ihre Personaldaten austauschen dürfen, müssen für die Dependancen außerhalb der EU verbindliche, interne Datenschutzvorschriften erstellt und angewendet werden. Diese werden von der zuständigen Aufsichtsbehörde genehmigt.)
• Technikgestaltung, Art. 25 Abs. 1 DSGVO/datenschutzfreundliche Voreinstellungen, Art. 25 Abs. 2 DSGVO
  • zur Technikgestaltung: Das im Gewürzgurkenkonzern verwendete Mitarbeiterverwaltungsprogramm pseudonymisiert die Daten der Mitarbeiter direkt nach der Erfassung (Erwägungsgrund 78 DSGVO).
  • zu datenschutzfreundlichen Voreinstellungen: Das Social-Media-Profil des Gewürzgurkenkonzerns enthält schon bei seiner Erstellung die datenschutzfreundlichsten Voreinstellungen der jeweiligen Plattform.
• Erstellung eines Verarbeitungsverzeichnisses ( 30 Abs. 1 und 2 DSGVO)
• Durchführung einer Datenschutz-Folgenabschätzung (Art. 35 Abs. 1 und 3 DSGVO)
• Bestellung eines Datenschutzbeauftragten (Art. 37 DSGVO)
• Dokumentation von Datenschutzverletzungen ( 33 Abs. 5 DSGVO)
• Einhaltung genehmigter Verhaltensregeln/Zertifizierungsverfahren ( 24 Abs. 3 DSGVO)
  • zu Verhaltensregeln: Der Verband europäischer Gewürzgurkenhersteller erlässt eine Verhaltensregel, nach welchen Datenschutzstandards mit Daten in den Mitgliedsunternehmen zu verfahren ist, (Art 40 DSGVO).
  • zu Zertifizierungsverfahren: Das Gewürzgurkenunternehmen erhält nach entsprechender Überprüfung seiner Datenschutzcompliance das Zertifikat EuroPriSe (European Privacy Seal) (Art. 42 Abs. 1 DSGVO). Das Unternehmen kann dieses Zertifikat bei einer Überprüfung durch die Aufsichtsbehörde vorweisen.

Weitere Beispiele, wie man seiner Nachweispflicht nachkommen kann, hält auch die Artikel-29-Datenschutzgruppe in ihrem Arbeitspapier Nr. 173 vor.

Wenn sich der Unternehmer nun selbst fragt, ob er der Nachweispflicht in genügender Weise entsprochen hat, so sollte er sich die Frage stellen, ob er alle Prozesse, bei denen personenbezogene Daten erhoben und verarbeitet werden, hinreichend dokumentiert hat.

Wer angesichts dieses doch recht herausfordernden Pensums der Rechenschaftspflicht den Kopf in den Sand steckt oder die Verantwortung von sich weisen will, ist schlecht beraten. Es sollte jedem Verantwortlichen klar sein, dass er auch dann haftet, wenn die Verarbeitung der personenbezogenen Daten nicht durch ihn selbst, sondern durch einen Dienstleister erfolgt (Erwägungsgrund 74 DSGVO). Sprich: Nur weil die Datenschutzverletzung nicht im eigenen Unternehmen, sondern z. B. bei einem Subunternehmer erfolgt, heißt das noch nicht, dass das Unternehmen von der Haftung befreit ist. Im Übrigen kann sich der Unternehmer auch nicht dadurch der Haftung entziehen, dass er einen Datenschutzbeauftragten bestellt.

Im Übrigen kommt eine Haftung durch eine Beschwerde einer betroffenen Person bei der zuständigen Aufsichtsbehörde nach Art. 77 DSGVO in Betracht. Ist eine Person mit dem Ergebnis des Beschwerdeverfahrens nicht einverstanden, so kann sie das Untersuchungsergebnis auch gerichtlich angreifen (Art. 78 Abs. 1 und 2 DSGVO).

Natürlich findet bei nicht ausreichender Dokumentation im Ernstfall auch eine Sanktionierung durch die Aufsichtsbehörde statt. Bußgelder können bis zu 20 Mio. Euro oder 4 % des weltweiten Umsatzes des Unternehmens betragen, je nachdem welcher Betrag höher ist (Art. 83 Abs. 5 DSGVO).

Die spannendste Diskussion in diesem Bereich unter Datenschutzrechtlern ist derzeit, ob die in Art. 5 Abs. 1 DSGVO genannten Grundsätze ebenso wie die Rechenschaftspflicht auch gerichtlich einklagbar sind. Stellt ein Betroffener also fest, dass ein Unternehmen ihm keine Auskunft zu seinen Daten geben kann, weil einfach keine entsprechenden Dokumentations- bzw. Auskunftsmöglichkeiten vorliegen, so könnte er auf die Idee kommen, den Unternehmer für die Verletzung seiner Nachweispflicht gerichtlich zu verklagen. Ob das möglich ist und wenn ja, wie, wird in Zukunft wohl letztlich der Europäische Gerichtshof beantworten müssen.

• Mindmap mit höherer Auflösung
• BSI Kompendium 2022

Technische und organisatorische Maßnahmen (TOM) sind durch die DSGVO (Datenschutz-Grundverordnung) vorgeschriebene Maßnahmen, die die Sicherheit der Verarbeitung personenbezogener Daten gewährleisten sollen. TOM umfassen ein Bündel bestimmter Instrumente, mit denen Unternehmen den Datenschutz gewährleisten müssen. Eine professionelle Datenschutz-Dokumentation ist dabei für den Verantwortlichen verpflichtend. Der Kern dieser Verpflichtung findet sich in Art. 25 Datenschutzgrundverordnung (DSGVO).

§ 9 BDSG (alte Fassung) definiert technisch-organisatorische Maßnahmen und benennt konkret folgende Bereiche:

• Zutrittskontrolle: Der physische Zutritt zu Datenverarbeitungsanlagen wie einem Serverraum muss durch Zutrittskontrolle verhindert werden. Mögliche Mittel sind elektronische Zugangssysteme oder Pförtner.
• Zugangskontrolle: Dritte dürfen auch keinen digitalen Zugriff auf Datenverarbeitungsanlagen erhalten. Dies kann durch Verschlüsselungen, Mehr-Faktor-Authentifizierungen oder strenge Passwortverfahren erfolgen.
• Zugriffskontrolle: Durch strenge Berechtigungskonzepte wird sichergestellt, dass unbefugte Dritte keinen Schreib- oder Lesezugang zu sensiblen Daten erhalten. Auch die Möglichkeit, Daten unbefugt zu kopieren oder zu löschen darf nicht gegeben sein.
• Weitergabekontrolle: Durch ausreichende Verschlüsselungen wird verhindert, dass sensible Daten unbefugten Dritten auch dann nicht offen gelegt werden, wenn diese z.B. gerade übertragen werden. Hier dürfen unberechtigte Dritte ebenfalls weder die Möglichkeit zum Lesen, Verändern, Kopieren oder Löschen der Daten erhalten.
• Eingabekontrolle: Protokollierungssysteme erfassen jeden Zugriff auf personenbezogene Daten und ermöglichen jede Änderung oder Löschung nachzuvollziehen.
• Auftragskontrolle: AV-Verträge regeln die Datenverarbeitung durch auf diese Weise befugte Dritte den Regelungen des Auftraggebers entsprechend.
• Verfügbarkeitskontrolle: Firewalls und Backups sind nur zwei der Möglichkeiten, um Daten vor ungewünschten Verlusten und Angriffen zu schützen und zudem zu gewährleisten, dass die Daten im Verlustfall wiederhergestellt werden können.
• Trennungsgebot: Der Einsatz separater Systeme soll gewährleisten, dass für unterschiedliche Zwecke erhobene Daten nur für den jeweiligen Erhebungszweck verwendet werden.

Mittels einer Risikoanalyse muss abgeklärt werden für welche Unternehmen bestimmte Maßnahmen relevant sind.

• Eine Checkliste für TOMs
• TOM der IONOS

Auftragsverarbeitung im datenschutzrechtlichen Sinne liegt nur in Fällen vor, in denen eine Stelle von einer anderen Stelle im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt wird.

Der Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Nr. 8 DSGVO)

Ein Auftragsverarbeitungsvertrag (AVV) wird nötig, wenn personenbezogene Daten im Auftrag an Dritte weitergegeben und von ihnen verarbeitet oder genutzt werden. Die rechtlichen Vorschriften zur Datenweitergabe sind in der EU-Datenschutz-Grundverordnung (DSGVO) festgelegt.

Siehe: https://dsgvo-gesetz.de/themen/auftragsverarbeitung/

Die einzelnen Rechte und Pflichten beider Parteien bei der Auftragsverarbeitung regelt Art. 28 DSGVO. Die dort aufgeführten Mindestanforderungen müssen im AV-Vertrag enthalten sein, sie können und sollten einzelfallbezogen vertraglich ausgestaltet bzw. auf den jeweiligen Dienstleister und seine Tätigkeiten angepasst werden:

• Gegenstand und Dauer der Verarbeitung
• Art und Zweck der Verarbeitung
• Art der personenbezogenen Daten, Kreis betroffener Personen
• Umfang der Weisungsbefugnisse
• Pflichten und Rechte des Verantwortlichen
• Pflichten des Auftragsverarbeiters:
• Verarbeitung nach dokumentierter Weisung,
• Wahrung der Vertraulichkeit bzw. Verschwiegenheit,
• Ergreifung geeigneter Maßnahmen für die eigene Sicherheit der Verarbeitung,
• Rechtmäßige Hinzuziehung von Subunternehmen,
• Unterstützung des Verantwortlichen bei der Beantwortung von Anträgen betroffener Personen,
• Unterstützung des Verantwortlichen bei der Einhaltung dessen Pflichten aus Art. 32 bis 36 DSGVO,
• Ergreifung geeigneter Maßnahmen für die Sicherheit der Verarbeitung (Art. 28 III 2 lit. f DS-GVO i.V.m. Art. 32 DSGVO),
• Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Art. 28 III 2 lit. f DS-GVO i.V.m Art. 33 DS-GVO),
• Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person (Art. 28 III 2 lit. f DS-GVO i.V.m Art. 34 DS-GVO),
• Durchführung einer Datenschutz-Folgenabschätzung (Art. 28 III 2 lit. f DS-GVO i.V.m Art. 35 DS-GVO),
• Konsultierung der Aufsichtsbehörde bei Verarbeitung mit hohen Risiken (Art. 28 III 2 lit. f DS-GVO i.V.m Art. 36 DS-GVO).
• Löschung oder Rückgabe nach Beendigung des Auftrags,
• Zurverfügungstellung von Informationen und Ermöglichung von Überprüfungen
• Wichtiger Bestandteil des Vertrages ist eine Anlage zu den technischen und organisatorischen Maßnahmen, mit denen der
• Auftragnehmer Datenschutzund Datensicherheit der ihm überlassenen Daten gewährleistet.

Weitere Infos:

• https://datenschutz-generator.de/ratgeber-auftragsverarbeitung/
• Orientierungshilfe Auftragsverarbeitung des bayrischen Landesbeauftragten für Datenschutz
• AVV Mustervertrag

Je nach Land greifen unterschiedliche Beschlüsse:

Die Europäische Kommission kann gemäß Art. 45 Abs. 3 DS-GVO sogenannte Angemessenheitsbeschlüsse fassen. Hierin stellt sie fest, dass personenbezogene Daten in einem bestimmten Drittland (oder in einem bestimmten Gebiet oder Sektor) einen mit dem Europäischen Datenschutzrecht vergleichbaren adäquaten Schutz genießen. Hat die Europäische Kommission einen entsprechenden Angemessenheitsbeschluss gefasst, so dürfen personenbezogene Daten, sofern die sonstigen Bestimmungen der DS-GVO eingehalten werden, ohne weitere Genehmigung an das jeweilige Land übermittelt werden. Datentransfers auf der Grundlage eines Angemessenheitsbeschlusses sind folglich privilegiert: Sie werden solchen innerhalb der EU gleichgestellt.

Derzeit existieren Angemessenheitsbeschlüsse für die Übermittlung personenbezogener Daten in folgende Drittländer (Stand 04 2022):

• Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer
• https://datenschutz.hessen.de/datenschutz/internationales/angemessenheitsbeschl%C3%BCsse

Die Datenschutz-Folgenabschätzung ist für zahlreiche öffentliche und nichtöffentliche Stellen, die Daten erheben, verarbeiten und nutzen, mit Wirksamkeit der Datenschutz-Grundverordnung (DSGVO) ab Mai 2018 verbindlich. Maßgebliches Ziel der Datenschutz-Folgenabschätzung ist die systematische Vorabbewertung von Risiken für die Rechte und Freiheiten der Betroffenen, die einzelne Verarbeitungsvorgänge mit sich bringen. Darüber hinaus sollen nach Artikel 35 DSGVO im Rahmen der Datenschutz-Folgenabschätzung auch Strategien entwickelt werden, die die Verminderung von Risiken in jedem Einzelfall zum Ziel haben.

Die entsprechenden Grundlagen finden sich in Artikel 35 DSGVO. Im Allgemeinen handelt es sich um eine optimierte und strukturierte Risikoanalyse. Nach Artikel 35 Absatz 7 DSGVO muss eine Datenschutz-Folgenabschätzung mindestens folgende Inhalte haben:

• exakte Beschreibung der geplanten Verarbeitungsvorgänge und der jeweiligen Verarbeitungszwecke sowie etwaiger berechtigter Interessen des Verantwortlichen
• Evaluierung von Notwendigkeit und Verhältnismäßigkeit der Erhebung personenbezogener Daten bezogen auf den jeweiligen Zweck
• Evaluierung von Risiken für die Freiheiten sowie Rechte der Betroffenen
• Geplante Abhilfemaßnahmen, mit deren Hilfe die Risiken bewältigt werden können (Garantien, Sicherheitsvorkehrungen, Verfahren)

Nicht jedes Unternehmen muss eine Datenschutz-Folgenabschätzung vornehmen. Die DSGVO nennt einzelne Beispielfälle, in denen die Vorabkontrolle erfolgen muss. Maßgeblich sind dies nach Artikel 35 Absatz 3 DSGVO öffentliche und nichtöffentliche Stellen, die:

• mit Scoringverfahren (z. B. Wirtschaftsauskunfteien) arbeiten oder ähnliche Datenverarbeitungen zum Zwecke des Profiling vornehmen oder
• besondere Arten personenbezogener Daten in erheblichem Umfang speichern, verarbeiten und nutzen (auch bezogen auf strafrechtliche Verurteilungen und Straftaten)
• systematisch und umfangreich öffentliche Räume überwachen (vor allem per Videoüberwachung)

• Eine Checkliste: datenschutz-folgenabschaetzung-checkliste.pdf
  
• Tools zur Datenschutz-Folgenabschaetzung
  • PIA
• https://www.security-insider.de/was-ist-eine-datenschutz-folgenabschaetzung-a-752358/
• Liste der Verarbeitungstätigkeiten, für die eine DSFA durchzuführen ist (Blackliste)

Die Landesdatenschutzbeauftragten haben ein Schutzstufenmodell entwickelt, das folgende Schutzstufen unterscheidet

Nach dem Standard-Datenschutzmodell (SDM 2.0a) ergibt sich der Schutzbedarf aus dem Risiko der Verarbeitungstätigkeit, bevor ein Verantwortlicher technische und organisatorische Maßnahmen bestimmt und umgesetzt hat. Insofern gilt der folgende Zusammenhang zwischen Risikohöhe, im Sinne eines Ausgangsrisikos, und Schutzbedarfsstufe:

• kein oder geringes Risiko der Verarbeitung: normaler Schutzbedarf für von der Verarbeitung betroffene Personen
• normales Risiko der Verarbeitung: normaler Schutzbedarf für von der Verarbeitung betroffene Personen
• hohes Risiko der Verarbeitung: hoher Schutzbedarf für von der Verarbeitung betroffene Personen

Siehe: BSI-Standard 200-2 IT-Grundschutz-Methodik

Eine wichtige Rolle spielen dabei die Kategorien der Daten. Als besondere Kategorien personenbezogener Daten nennt die DSGVO in Artikel 9 personenbezogene Daten,

• aus denen die rassische und ethnische Herkunft,
• politische Meinungen,
• religiöse oder weltanschauliche Überzeugungen oder
• die Gewerkschaftszugehörigkeit hervorgehen,
• sowie genetische Daten,
• biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person,
• Gesundheitsdaten und
• Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

Sofern die Verarbeitung solcher Daten überhaupt zulässig ist, müssen Sie besondere Schutzmaßnahmen ergreifen.

Checkliste: schutzeinstufung-von-daten.docx
Weitere Informationen: Was ist Infor­ma­ti­ons­si­cher­heit von HAUFE

Die DSGVO schreibt Unternehmen vor, ein Verzeichnis von Verarbeitungstätigkeiten (VVT) zu führen und vorzuhalten (Art. 30 DSGVO). Dieses Verzeichnis ähnelt dem sogenannten Verfahrensverzeichnis des alten Bundesdatenschutzgesetzes (BDSG-alt). Wer also bereits vor der Geltung der DSGVO ein Verfahrensverzeichnis geführt hat, kann auf dessen Grundlage das Verzeichnis von Verarbeitungstätigkeiten aufbauen und weiterentwickeln. Ein Verstoß gegen Artikel 30 DSGVO, zieht ein Bußgeld von bis zu 10 Mio€ (bis zu 2% des Jahresumsatz) nach sich.
Tipp: Immer eine ausgedruckte Version griffbereit haben

Von der Pflicht zum Führen eines Verzeichnisses von Verarbeitungstätigkeiten wird eine eingeschränkte Ausnahme bei Einrichtungen mit weniger als 250 Mitarbeitern gemacht (Art. 30 Abs. 5 DSGVO). Folgende Einschränkungen werden an diese Ausnahme geknüpft:

• Es darf kein Risiko für die Rechte und Freiheiten der betroffenen Person bestehen (z. B. Videoüberwachung).
• Die Verarbeitung darf nur gelegentlich erfolgen.
• Es darf keine Verarbeitung von personenbezogenen Daten der besonderen Kategorien nach Art. 9 DSGVO erfolgen (z. B. Gesundheitsdaten).

Das VVT gliedert sich idealerweise in zwei übergeordnete Blöcke:

Das VVT beginnt mit den Namen und Kontaktdaten des Verantwortlichen und seines Vertreters und alle gemeinsam Verantwortliche („Joint Control“), wie z.B. Headhunter, Internet-Fanseiten. Sofern ein Datenschutzbeauftragter benannt wurde ist dessen Name und Kontaktdaten auch aufzuführen.

Eine Verarbeitungstätigkeit ist ein Vorgang, bei dem personenbezogene Daten für einen oder mehrere Zwecke verarbeitet werden. Beispiele: Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Verändern, Auslesen, Abfragen, Verwenden, Übermitteln, Verbreiten, Bereitstellen, Abgleichen oder Verknüpfen von Daten.

Hierzu muss auch geklärt werden, welche Software verwendet wird, und welche davon personenbezogenen Daten beispielsweise automatisch verarbeitet. Wird auch auf US-Dienstleister als Auftragsverarbeiter zurückgegriffen. Beides darf bei der Auflistung der Verarbeitungstätigkeiten auf jeden Fall nicht vergessen werden. Dabei hilft das Turtle-Modell

Typische Verarbeitungsprozesse, die in eigentlich jedem Unternehmen vorkommen, sind etwa:

• Personalverwaltung
• Lohn- und Gehaltsabrechnung
• Bewerbermanagement

Es kann auch sinnvoll sein, die Verarbeitungstätigkeiten in übergeordnete Gruppen einzuteilen, etwa:

• Buchhaltung
• Personal
• Marketing
• Kunden
• IT

Der Inhalt und die erforderlichen Angaben der einzelnen Verarbeitungstätigkeiten ergeben sich für den Verantwortlichen aus Art. 30 Abs. 1 DSGVO. Demnach gehören zu jeder Verarbeitungstätigkeit:

• Zwecke der Verarbeitung
• Kategorien betroffener Personen (z. B. Beschäftigte, Bewerber, Kunden, Patienten, Minderjährige)
• Kategorien personenbezogener Daten (z. B. Kontaktdaten, Adressdaten, Umsatzdaten), insbesondere, ob es besondere Kategorien sind (z. B. Gesundheitsdaten)
• Kategorien von Empfängern der personenbezogenen Daten (z. B. bei Lohn- und Gehaltsabrechnung: Banken, Sozialversicherungsträger, Finanzamt)
• Angabe des Drittlands oder internationaler Organisation bei Übermittlung ins Nicht-EU-Ausland, ggf. samt geeigneter Garantien eines gleichwertigen Datenschutzniveaus
• Löschfristen, auch unter Beachtung von Aufbewahrungspflichten
• Beschreibung der technischen und organisatorischen Maßnahmen (TOMs) und/oder Verweis auf vorhandenes Sicherheitskonzept mit TOMs

Auftragsverarbeiter müssen nur die Kategorien von Verarbeitungen, die im Auftrag eines Verantwortlichen durchgeführt werden, aufführen (Art. 30 Abs. 2 DSGVO). Zudem müssen sie keine Löschfristen in ihrem VVT dokumentieren.

Das VVT ist schriftlich zu führen, wozu auch ein elektronisches Format, etwa eine Excel-Tabelle, gezählt wird. Die Aufsichtsbehörde kann, wenn das VVT vorgelegt werden muss, jedoch entscheiden, ob sie es elektronisch oder ausgedruckt verlangt. Das VVT muss in der regional geltenden Amtssprache geführt werden.

Das VVT muss regelmäßig gepflegt und aktuell gehalten werden. Zusätzlich sollte das VVT auch in regelmäßigen Abständen auf die Aktualität aller Einträge überprüft werden.

• Bin ich Verantwortlicher oder Auftragsverarbeiter?
• Brauche ich ein VVT oder falle ich unter die Ausnahme?
• Nenne ich die Namen und Kontaktdaten aller erforderlichen Personen?
• Habe ich alle Verarbeitungstätigkeiten meines Unternehmens im VVT aufgeführt?
• Als Verantwortlicher: Gebe ich die Zwecke der Verarbeitung, die Kategorien betroffener Personen, Daten und Empfänger an?
• Gebe ich Löschfristen an? Verarbeite ich Daten der besonderen Kategorien (Art. 9 DSGVO)?
• Als Auftragsverarbeiter: Gebe ich die Kategorien von Verarbeitungen an?
• Übermittle ich Daten ins Nicht-EU-Ausland, etwa indem ich US-Dienstleister nutze, und führe das im VVT aus?
• Werden die TOMs beschrieben und/oder auf ein Sicherheitskonzept verwiesen?
• Ist das VVT auch in Deutsch verfügbar und kann im Zweifel ausgedruckt werden?
• Aktualisiere und prüfe ich das VVT regelmäßig?

Weitere Info

• DAV Muster der Verzeichnis- und Verarbeitungstätigkeiten
• hinweise-zum-verzeichnis-von-verarbeitungstaetigkeiten.pdf
• https://www.steuerschroeder.de/Verfahrensdokumentation.html
• https://www.isico-datenschutz.de/leistungen/datenschutz-beratung/verzeichnis-von-verarbeitungstaetigkeiten-nach-dsgvo/
• VVT Muster: des BfDI, der GDD und von Mensch und Medien

—-

Was tun bei einer bekannten Datenschutzverletzung
Zuerst gilt zu klären ob es sich um einen Datenschutzverstoß oder Datenschutzpanne handelt

Unter Datenschutzverstoß versteht man jeden Verstoß gegen die DSGVO. Unterschieden wird je nach Schwere des Verstoßes zwischen Ordnungswidrigkeiten und Straftaten.

Eine Datenschutzverletzung liegt nur dann vor, wenn es dabei um eine „Verletzung des Schutzes personenbezogener Daten“ geht. Diese liegt im Sinne von Art. 33 DSGVO und Art 4 Nr. 12 DSGVO nur dann vor, wenn es sich um eine Verletzung der Sicherheit handelt, die ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. Eine Datenschutzverletzung wird umgangssprachlich auch als Datenschutzpanne bezeichnet.

Liegt ein solcher Fall vor, handelt es sich um einen meldepflichtigen Verstoß gegen den Datenschutz. Dies ist in Art. 33 der DSGVO geregelt. Die DSGVO legt also sowohl fest, wer den Datenschutzverstoß melden muss, als auch innerhalb welcher Frist die Meldung vorgenommen werden muss. Wer Verantwortlicher im Sinne der DSGVO ist, wird im Art. 4 Nr. 7 definiert. Dementsprechend ist derjenige verantwortlich, der über die Zwecke und Mittel der Verarbeitung entscheidet.

• Meldeformular Datenschutzvorfälle

Um einen Verstoß zu melden, muss sich der Verantwortliche an die zuständige Datenschutzbehörde wenden. Je nachdem wo die personenbezogenen Daten unzulässig verarbeitet wurden und welche Stelle für die Datenpanne verantwortlich ist, ändert sich auch die zuständige Behörde.

• Liste der Aufsichtsbehörden und Landesdatenschutzbeauftragte
• Meldungen von Datenschutzverletzungen RLP

Weiter müssen die betroffenen Personen unverzüglich informiert werden. Hierfür ist jedoch eine Bewertung der Art und des Umfangs des Datenschutzvorfalls, sowie der damit verbundenen Risiken für betroffenen Personen notwendig. Zudem müssen weitere Informationen gemäß Art. 33, 34 DSGVO bereitgestellt werden. Diese Informationen benötigen Sie, um entscheiden zu können, ob eine Meldung gegenüber der Betroffenen und/oder der Behörde notwendig ist und um die entsprechende Meldung vorzubereiten.

Der Reaktionsplan ist die Dokumentation der „Best-Practice“ Vorgehensweise und dient als Vorlage und Checkliste. Sie sollte folgende Schritte enthalten:

1. Schnelle Kenntniserlangung von Datenpannen
2. Bewertung
3. Maßnahmen zur Abwendung/Eindämmung
4. Entscheidung ob eine Meldung erfolgen soll
5. Meldung an die Aufsichtsbehörde oder den Betroffenen

Der Vorfall kann der zuständigen Aufsichtsbehörde telefonisch, per Mail, Fax oder in Briefform zugestellt werden. Eine Übertragung mit Protokoll ist empfehlenswert, wie zB Fax, oder Mail mit MDN und DSN. Bei der Übermittlung als Brief ist der Eingangsstempel wichtig für die Meldefrist.

Die Betroffenen müssen laut Erwägungsgrund 86 informiert werden.

• Die Verletzung des Schutzes personenbezogener Daten ist gegenüber der zuständigen Datenschutzbehörde binnen 72 Stunden zu melden, wenn aufgrund der Verletzung ein Risiko für die Rechte und Freiheiten betroffener Personen besteht.
• Gegenüber betroffenen Personen muss unverzüglich Meldung erfolgen, wenn ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen zu erwarten ist.

1. die Bedrohung schließen lassen
2. den Vorfall Dokumentieren
3. neue Arbeitsanweisung und Richtlinien ausgeben oder auf bestehende hinweisen
4. Datenschutzrichtlinien anpassen/erweitern
5. Schulungen organisieren
6. Information der Massnahmen an die zuständige Datenschutzbehörde (Transparenz)

Der Ausgangspunkt für Bußgelder bei Datenschutzverstößen ist der Art. 83 DSGVO. Das Neues Bußgeldkonzept der DSK konkretisiert den Kriterienkatalog

Die Maximalstrafe für DSGVO-Verstöße liegt bei 20 Millionen Euro oder 4 % des Jahresumsatzes – je nachdem, welcher Betrag höher ist. (Art. 83 Abs. 4 und 5 DSGVO). Die Basis bei der Bemessung der DSGVO-Bußgelder ist also der jährliche Umsatz eines Unternehmens. Dafür werden die Organisationen in einem ersten Schritt in vier Größenklassen unterteilt:

• A: Kleinstunternehmen mit einem Jahresumsatz bis 2 Mio. Euro
• B: Kleine Unternehmen mit einem Jahresumsatz über 2 bis 10 Mio. Euro
• C: Mittlere Unternehmen mit einem Jahresumsatz über 10 bis 50 Mio. Euro
• D: Großunternehmen mit einem Jahresumsatz über 50 Mio. Euro

Siehe: Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen

Im zweiten Schritt erfolgt dann die Bestimmung des mittleren Jahresumsatzes der jeweiligen Unterkategorie. Der mittlere Jahresumsatz ist die Grundlage für die Ermittlung des wirtschaftlichen Grundwertes. Beispiele:

• Für das Unternehmen der Größenklasse B.II ist der mittlere Jahresumsatz auf 6,25 Mio. Euro festgelegt,
• Für das Großunternehmen der Kategorie D.IV ist der mittlere Jahresumsatz auf 250 Mio. Euro festgelegt.

Mit der Formel für die Festsetzung des wirtschaftlichen Grundwertes wird nun der mittlere Jahresumsatz durch 360 Tage geteilt. Im Ergebnis entsteht ein durchschnittlicher Tagessatz. Beispiele:

• Der durchschnittliche Tagessatz für das Unternehmen der Größenklasse B.II beläuft sich auf rund 17.361 Euro.
• Der durchschnittliche Tagessatz für das Großunternehmen (D.IV) beläuft sich auf 694.444 Euro.

Hier zeigt das Bußgeld-Konzept anhand einer weiteren Tabelle auf, mit welchem Faktor der durchschnittliche Tagessatz multipliziert wird. Orientierungspunkte für die Festlegung des Faktors bei DSGVO-Strafen ist der Schweregrad – leicht, mittel, schwer oder sehr schwer – und die Einordnung in formelle bzw. materielle DSGVO-Verstöße. Beispiele:

• Bei einem schweren materiellen Verstoß eines Unternehmens der Größenklasse B.II kann der Faktor 8 bis 12 durchschnittliche Tagessätze zur Anwendung kommen.
• Bei einem leichten formellen Verstoß eines Großunternehmens der Kategorie D.IV kann der Faktor 1 bis 2 durchschnittliche Tagessätze zum Tragen kommen.

Die Anpassung des Grundwertes erfolgt anhand aller sonstigen für und gegen den Betroffenen sprechenden Umstände. In diesem Schritt werden noch einmal alle tatbezogenen Umstände erwogen und können – zum Beispiel bei drohender Zahlungsunfähigkeit eines Unternehmens – Einfluss auf den Grundwert nehmen.

^{Quelle: https://www.dqs.de/blog/datenschutz/dsgvo-strafen/}

• DSGVO Bußgeldrechner
• DSGVO Bußgeld RechnerNach dem Konzept der DSK vom 14.10.2019
• DSGVO Bußgelder / Strafen
• Art. 84 dsgvo
• GDPR Enforcement Tracker

Die DSGVO bestimmt, dass Daten nur nach den Grundsätzen der Rechtmäßigkeit, der Zweckbindung und der Datenminimierung gespeichert werden dürfen. Personenbezogene Daten dürfen also nur so lange aufbewahrt werden, wie sie zu dem vom Nutzer ursprünglich preisgegebenen Zweck erforderlich sind (Art. 17 Abs. 3 DSGVO). Es kann aber ein berechtigtes Interesse vorliegen wenn Mitarbeiter noch Ansprüche aus dem Arbeitsverhältnis haben. Das sei zum Beispiel der Fall, wenn Mitarbeiter

• eine Betriebsrente bekommen,
• noch Anspruch auf Vergütung für nicht genommenen Urlaub haben oder
• noch eine Vergütung von Überstunden bekommen.

Alle dafür relevanten Daten dürfen Arbeitgeber aufbewahren. Gleiches gelte, wenn Betriebe mit ihren Mitarbeitern im Arbeitsvertrag ein nachvertragliches Wettbewerbsverbot vereinbart hatten.

Gehaltsunterlagen isnd sechs bis zehn Jahre aufzubewahren.
Die Sechs-Jahres-Frist gilt etwa für Lohnkonten, Reisekostenabrechnungen und Fahrtenbücher. Lohnunterlagen, die auch für die Gewinnermittlung von Bedeutung sind, dürfen erst nach zehn Jahren vernichtet werden.

Arbeitszeitnachweise sind sechs Jahre aufzubewahren. Bei besonderen Arbeitszeitdokumentationen nach dem Arbeitszeit- und Mindestlohngesetz beträgt die Aufbewahrungspflicht zwei Jahre rückwirkend. Das gilt auch bei Minijobbern.

^{Quelle: https://www.datenschutzexperte.de/blog/datenschutz-im-unternehmen/loeschung-personenbezogener-daten-bei-kuendigung/}

Nach Art. 15 Abs. 1 DSGVO haben betroffene Personen das Recht, von Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ist das der Fall, haben die betroffenen Personen ein Recht auf Auskunft über diese Daten und darüber hinausgehende Informationen zu deren Verarbeitung.

Zunächst können betroffene Personen von dem Verantwortlichen eine Bestätigung darüber verlangen, ob überhaupt personenbezogene Daten von ihnen verarbeitet werden. Werden keine personenbezogenen Daten eines Antragstellers verarbeitet, ist der Antragsteller darüber zu informieren (sog. „Negativauskunft„). Werden personenbezogene Daten eines Antragstellers verarbeitet, hat dieser grundsätzlich ein Recht auf Auskunft über diese Daten. Zusätzlich hat der Verantwortliche nach Art. 15 Abs. 1 DSGVO auch die folgenden Informationen bereitzustellen:

• Verarbeitungszwecke
• Kategorien personenbezogener Daten, die verarbeitet werden
• Empfänger bzw. Kategorien von Empfängern, die diese Daten bereits erhalten haben oder künftig erhalten werden
• geplante Speicherdauer falls möglich, andernfalls die Kriterien für die Festlegung der Speicherdauer
• Rechte auf Berichtigung, Löschung oder Einschränkung der Verarbeitung
• Widerspruchsrecht gegen diese Verarbeitung
• Beschwerderecht für die betroffene Person bei der Aufsichtsbehörde
• Herkunft der Daten, soweit diese nicht bei der betroffenen Person selbst erhoben wurden
• das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling mit aussagekräftigen Informationen über die dabei involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen solcher Verfahren

Werden personenbezogene Daten in Drittländer übermittelt, haben betroffene Personen darüber hinaus nach Art. 15 Abs. 2 DSGVO das Recht, über die in Zusammenhang mit der Datenübermittlung getroffenen geeigneten Garantien gemäß Art. 46 DSGVO (z.B. vereinbarte EU-Standardvertragsklauseln oder verbindliche interne Datenschutzvorschriften) informiert zu werden.

Die Auskunft ist nach Art. 15 DSGVO nur der betroffenen Person zu erteilen. Diese kann eine dritte Person mit der Ausübung bevollmächtigen oder gem. Art. 80 DSGVO eine der dort genannten Organisationen mit der Rechtsausübung beauftragen. Der Verantwortliche muss dafür sorgen, dass Daten nicht in die „falschen Hände“ gelangen und ggf. die Identität überprüfen. Werden Auskünfte ohne Berechtigung erteilt, liegt regelmäßig eine Datenpanne nach Art. 33 DSGVO vor.

Nach Art. 12 Abs. 1 DSGVO können die Informationen

• schriftlich,
• auf elektronischem Wege
• oder, auf Verlangen der betroffenen Person, mündlich

erteilt werden. Erfolgt die Auskunftserteilung mündlich, muss die Identität der betroffenen Person jedoch in anderer Form nachgewiesen werden. Wenn die betroffene Person den Antrag auf Auskunftserteilung elektronisch stellt, sind die zur Verfügung zu stellenden Informationen gemäß Art. 15 Abs. 3 DSGVO in einem gängigen elektronischen Format zur Verfügung zu stellen (z.B. als PDF). In Erwägungsgrund 63 zur DSGVO heißt es diesbezüglich, dass der Verantwortliche nach Möglichkeit den Fernzugang zu einem sicheren System bereitstellen können sollte, der der betroffenen Person direkten Zugang zu ihren personenbezogenen Daten ermöglichen würde. In jedem Fall ist bei der Auskunftserteilung darauf zu achten, dass angemessene Sicherheitsanforderungen eingehalten werden.

Wenn eine betroffene Person von ihrem Auskunftsrecht Gebrauch macht, sind ihr die zu erteilenden Informationen gemäß Art. 12 Abs. 3 DSGVO unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung zu stellen. Diese Frist kann in komplexen Fällen um zwei Monate verlängert werden. Über Fristverlängerungen ist die betroffene Person unter Angabe der für die Verzögerung verantwortlichen Gründe innerhalb eines Monats nach Eingang ihres Antrags zu informieren.
Wird die Monatsfrist versäumt, kann ggf. ein Anspruch auf Schadensersatz entstehen, wenn der Betroffene sich aufgrund des Verzuges (der ohne Mahnung eintritt) einen Anwalt nimmt, um seinen Anspruch durchsetzen.

Nach Art. 15 Abs. 3 DSGVO hat der Verantwortliche der betroffenen Person eine Kopie der personenbezogenen Daten zur Verfügung zu stellen, die Gegenstand der Verarbeitung sind. Nach Art. 12 Abs. 5 DSGVO hat der Verantwortliche diese Informationen grundsätzlich kostenlos zur Verfügung zu stellen.
Verlangt der Betroffene weitere Kopien, kann der Verantwortliche gemäß Art. 15 Abs. 3 DSGVO ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen.

Gemäß Erwägungsgrund 63 zur Datenschutz-Grundverordnung kann der Verantwortliche verlangen, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor eine Auskunftserteilung zu erfolgen hat. Gemäß Art. 15 Abs. 4 DSGVO kann von einer Auskunftserteilung ausnahmsweise auch dann abgesehen werden, wenn dies die Rechte und Freiheiten anderer Personen beeinträchtigen würde.

Weiter kann die Auskunft nach § 34 BDSG verweigert werden, wenn

• die Daten nur noch aufgrund gesetzlicher Aufbewahrungsvorschriften gespeichert bleiben müssen und eine Auskunft unverhältnismäßig aufwendig wäre (§ 34 Abs. 1 Nr. 2a BDSG),
• wenn es sich ausschließlich um Archiv- und Protokollierungsdaten handelt und eine Auskunft unverhältnismäßig aufwendig wäre (§ 34 Abs. 1 Nr. 2 b BDSG) oder
• wenn ein Interesse an Geheimhaltung besteht (§ 34 Abs. 1 i.V.m. § 29 Abs. 1 Satz 2 BDSG).

Die Ablehnungsgründe müssen gemäß § 34 Abs. 2 BDSG dokumentiert werden und der Betroffene informiert, soweit nicht durch die Mitteilung der tatsächlichen und rechtlichen Gründe, auf die die Entscheidung gestützt wird, der mit der Auskunftsverweigerung verfolgte Zweck gefährdet würde.

Für Verantwortliche empfiehlt es sich, rechtzeitig organisatorische Vorkehrungen zu treffen, um Auskunftsersuchen schnell und vollständig beantworten zu können. Denn gemäß der Art. 12 Abs. 1 und Art. 5 Abs. 2 DSGVO haben Verantwortliche bereits vorbereitend geeignete organisatorische Maßnahmen zu treffen, um betroffenen Personen beantragte Auskünfte fristgerecht und in einer geeigneten Form zur Verfügung zu stellen.
^{Quelle: https://www.dr-datenschutz.de/auskunftsrecht-dsgvo-wissen-fuer-betroffene-unternehmen/}

• Übungsbeispiel: Hase&Igel
• Unternehemen2
• Präsentation VVT: Wir brauchen eine VVT und DSGVO und personenbezogene Daten
• Analyse des Webauftritt BWI.de
• Datenschutzverletzung melden
• Der Auskunftspflicht nachkommen
• Prüfungsvorbereitung
• Übungsfragen Datenschutz

• Der DSB-Ratgeber (Mensch und Medien)
• Datenschutzkonferenz
• Checklisten der LDA Bayern
• Dokumentation/Rechenschaftspflicht nach der DSGVO der ULD
• BSI Kompendium 2022
• Arbeitnehmerschutzgesetz
• GDD: Der Datenschutzbeauftragte
• Datenschutz RLP

Was ist ein ODT?
Das ist das Libre-Office (früher Open-Office)Dateiformat. Es kann mit dem aktuellen MS-Word geöffnet, bearbeitet und dann als native Word-Datei gespeichert werden. Zum Generieren der vollständigen Datei, einfach auf den ODT-Button klicken und eine Minute warten (Die Konversation dauert etwas) viel Spass damit :)
P.S. Die Seite als PDF „ausdrucken“ lassen funktioniert natürlich auch