Datenschutzrecht
Die Grundlagen des Unionsrechts ist die Charta der Grundrechte der Europäischen Union sowie die vom Europäischen Gerichtshof entwickelten Grundrechte. Der Schutz der persönlichen Daten jedes Einzelnen, als Ausfluss des allgemeinen Persönlichkeitsrechtes, haben ihren Niederschlag in der Datenschutzgrundverordnung (DSGVO), dem Bundesdatenschutzgesetzes (BDSG) und den jeweiligen Landesdatenschutzgesetzen gefunden.
Mit juristischem Kow-how unterstützen wir Sie, die Vorgaben der Datenschutzgesetze in Verträgen und Erklärungen oder ähnlichem umzusetzen.
Was versteht man unter personenbezogenen Daten im Sinne der DSGVO?
Unter dem Begriff der „Personenbezogenen Daten“ im Sinne des Art. 4 DSGVO sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, gemeint. Dazu gehören unter anderem:
- Name,
- Geburtsdatum,
- Geschlecht,
- Konfession,
- Überzeugung,
- Handschrift (auch Telefonnummer und Emailadresse
- Familienstand,
- äußeres Erscheinungsbild,
- Ausbildungsstand,
- Beruf,
- Leistungen,
- Einkommen,
- Kreditkartennummern,
- Passwörter,
- Eigenschaften,
- Kaufgewohnheiten,
- Gesundheitszustand,
- Tonund Bildaufnahmen,
- Angaben auf Fahrtenschreibern.
- Verkehrsdaten und
- Standortdaten.
Wer ist der Verantwortliche für die Einhaltung aller Datenschutzbestimmungen im Sinne des Art. 4 Abs. 7 DSGVO?
„Verantwortlicher“ im Sinne der Legaldefinition ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Was ist eine Verarbeitung im Sinne des Art. 4 Abs. 2 DSGVO?
Der Begriff der Verarbeitung ist sehr weit gefasst. Nach Art. 4 Nr. 2 DSGVO bezeichnet „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Wie werden personenbezogene Daten rechtmäßig im Sinne des Art. 5 DSGVO verarbeitet?
Zu den Grundsätzen der ordnungsgemäßen Verarbeitung von personenbezogenen Daten gehören gemäß Art. 5 DSGVO:
- Sicherstellung einer transparenten, nachvollziehbaren und rechtskonformen Datenverarbeitung,
- Zweckbindung zwischen Erhebung und Verarbeitung,
- Beschränkung der Verarbeitung auf das notwendige Maß (Datenminimierung),
- Berichtigung oder Löschung unrichtiger Daten (Datenrichtigkeit),
- Begrenzung der Speicherung auf den erforderlichen Zeitraum und
- Gewährleistung der Sicherheit der Daten gegenüber unrechtmäßiger Verarbeitung oder Verlust.
Was gehört in ein Verarbeitungsverzeichnis und wer muss dies im Sinne der DSGVO aufstellen?
Jeder Verantwortliche ist gem. Art. 30 Abs. 1 DSGVO zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten verpflichtet. Dieses Verzeichnis ist der zentrale Bestandteil der Datenschutzdokumentation und listet alle Verarbeitungen von personenbezogenen Daten im Unternehmen auf. Das Verzeichnis muss dabei die folgenden Angaben enthalten:
- Name und Kontaktdaten des Verantwortlichen
- Name und Kontaktdaten des Datenschutzbeauftragten
- Zweck der Verarbeitung
- Beschreibung der Kategorien betroffener Personen
- Beschreibung der Kategorien personenbezogener Daten
- Aufzählung der Empfänger der personenbezogenen Daten
- Fristen für die Löschung der personenbezogenen Daten
- allgemeine Beschreibung der technischen und organisatorischen Maßnahmen
Was versteht man unter einem Auftragsverarbeitungsvertrag im Sinne des Art. 28 DSGVO und welchen Mindestinhalt muss dieser haben?
Werden personenbezogene Daten im Auftrag des Verantwortlichen durch andere natürliche oder juristische Personen, Behörden, Einrichtungen oder Stellen verarbeitet, liegt eine Auftragsverarbeitung i. S. v. Art. 8 Abs. 1 DSGVO vor. Voraussetzung hierfür ist, dass die andere Stelle den Weisungen des Auftraggebers unterworfen ist und keine eigene Entscheidungsbefugnis darüber besitzt, wie sie mit den zur Verfügung gestellten Daten umgeht. Um die Einhaltung des Datenschutzes beidseitig sicher zu stellen, hat der Gesetzgeber in Art. 28 Abs. 3 DSGVO vorgeschrieben, dass ein entsprechender Vertrag oder ein anderes Rechtsinstrument geschaffen werden muss. Dabei sind die dort genannten Mindestinhalte zu erfüllen. Dazu gehören: Gegenstand/Dauer des Auftrags; Umfang, Art und Zweck der Datenverarbeitung; welche Art von Daten betroffen ist; die Angabe der Kategorien betroffener Personen; die Gewährleistung der Betroffenenrechte; Rechte und Pflichten des Auftraggebers; der Umfang der Weisungsbefugnisse des Auftraggebers; die Kontrollrechte des Auftraggebers inkl. der Duldungs- und Mitwirkungsrechte des Auftragsverarbeiters; die Pflichten des Auftragnehmers; das Recht des Auftragnehmers zum Einsatz von Subunternehmern; die Regelung wie und in welcher Form Verstöße mitzuteilen sind bis hin zur Regelung, wie Datenträger zurückgegeben werden müssen.
Wir, als Datenschützer, prüfen Ihre Verträge.
Wann benötigt man einen Auftragsverarbeitungsvertrag im Sinne des Art. 28 DSGVO und wann nicht?
Nicht jede Verarbeitung von personenbezogenen Daten erfordert einen Auftragsverarbeitungsvertrag. Ein solcher Vertrag ist nur notwendig, wenn der Schwerpunkt der Tätigkeit des Beauftragten in der Datenverarbeitung liegt. Hiervon ausgenommen sind Firmen, die eine fachfremde Leistung Leistung erbringt oder eine Tätigkeit der Berufsgeheimnisträger wie Steuerberater, Rechtsanwälte, externe Betriebsärzte und Wirtschaftsprüfer.
Keine Auftragsverarbeitungsverträge werden benötigt für:
- Bankinstitute für den Geldtransfer,
- Postdienste für den Brief- oder Pakettransport,
- Tätigkeit als WEG-Verwalter;
- Zahlungsdienstleister für elektronische Zahlungen (Transport von Zahlungsdaten, Geldwäsche- und Betrugsprüfung nach ZAG und den Mindestanforderungen der BaFin).
Wir, als Datenschützer, prüfen Ihre Verträge.
Was versteht man unter einer wirksamen Einwilligung im Sinne der Art. 6 Abs. 1 lit. a und Art. 7 DSGVO?
Nach der jüngsten Entscheidung des EuGH (vom 11.11.2020-C 61/19) sind Art. 2 lit. h u. Art. 7 lit. a DS-RL sowie Art. 4 Nr. 11 u. Art. 6 Abs. 1 lit. a DS-GVO dahin gehend auszulegen, dass es dem für die Verarbeitung von Daten Verantwortlichen obliegt, nachzuweisen, dass die betroffene Person ihre Einwilligung in die Verarbeitung ihrer personenbezogenen Daten durch aktives Verhalten bekundet hat und dass sie vorher eine Information über alle Umstände im Zusammenhang mit dieser Verarbeitung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erhalten hat, die sie in die Lage versetzt, die Konsequenzen dieser Einwilligung leicht zu ermitteln, sodass gewährleistet ist, dass die Einwilligung in voller Kenntnis der Sachlage erteilt wird. Daraus ergeben sich folgende Grundsätze:
Freiwilligkeit / Informiertheit / Bestimmtheit
Deshalb müsste der betroffenen Person auch immer mitgeteilt werden, dass sie diese Einwilligung jederzeit widerrufen kann.
Ferner ist das Kopplungsverbot zu beachten. Das bedeutet, dass die Einwilligung auch nicht von der Erfüllung eines Vertrages bzw. die Erbringung einer Dienstleistung abhängig gemacht werden, Art. 7 Nr. 4 DSGVO.
