Häufig gestellte Fragen zum Datenschutzrecht
Die seit dem 25. Mai 2018 geltenden neuen Datenschutzvorschriften (EU-Datenschutz-Grundverordnung - "DSGVO" und das neue Bundesdatenschutzgesetz - "BDSG neu") führen teilweise zu erheblichem Anpassungsbedarf in den Unternehmen. Wir geben Ihnen Antworten auf häufig gestellte Fragen sowie nützliche Checklisten und Musterverträge.
- Was regelt die DSGVO?
- Was muss ich als Unternehmen für die Umsetzung tun?
- Wo erhalte ich Praxishilfen zur Umsetzung der DSGVO?
- Was sind die Grundsätze der DSGVO?
- Welche Rechtsgrundlagen zur Verarbeitung personenbezogener Daten gibt es?
- Gibt es Vorlagen für das erforderliche Verzeichnis der Verarbeitungstätigkeiten?
- Was ist Auftragsverarbeitung und gibt es Vorlagen für Verträge?
- Welche Unternehmen müssen eine/n betriebliche/n Datenschutzbeauftragten bestellen?
- Welche Regeln gelten im Beschäftigtendatenschutz?
- Weitere Informationen
Was regelt die DSGVO?
Beim Datenschutz geht es um den Schutz personenbezogener Daten. Davon sind alle Informationen umfasst, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen, wie Name, Geburtsdatum oder IP-Adresse. Der Anwendungsbereich der DSGVO ist sehr weit gefasst. Es geht um den Schutz dieser Daten als Ausfluss des Persönlichkeitsrechts einer jeden Person.
Was muss ich als Unternehmen für die Umsetzung tun?
Zur Orientierung bei der Umsetzung der DSGVO empfehlen wir die → Checkliste der Niedersächsischen Landesbeauftragten für den Datenschutz (nicht barrierefrei, PDF-Datei · 281 KB)
Speziell für Kleinunternehmer stellt LDA Bayern nach Branchen (z.B. Einzelhandel, Online-Shop, Produktionsbetrieb) → zusätzliche Checklisten zur Verfügung.
Wo erhalte ich Praxishilfen zur Umsetzung der DSGVO?
Die unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz - DSK) haben zur ersten Orientierung wichtige Kurzpapiere dazu herausgegeben, wie die DSGVO praktisch angewendet werden sollte.
→ Kurzpapiere (Internetseiten der Datenschutzkonferenz)
→ Internetseiten der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) mit Praxishilfen (u.a. Musterverträge, Vorlagen zur Einwilligung und Vertraulichkeitsverpflichtungen)
Was sind die Grundsätze der DSGVO?
Art. 5 DSGVO beinhaltet die Grundsätze, die bei einer automatisierten Verarbeitung personenbezogener Daten zu beachten sind:
Verbot mit Erlaubnisvorbehalt
Da die Verarbeitung personenbezogener Daten in das verfassungsrechtlich geschützte Persönlichkeitsrecht eingreift, ist eine Datenverarbeitung grundsätzlich verboten. Nur, wenn sie z. B. gesetzlich erlaubt oder auf der Einwilligung der betroffenen Person beruht, ist sie erlaubt.
Rechtmäßigkeit
Die Verarbeitung ist dann rechtmäßig, wenn sie auf einer entsprechenden Grundlage beruht (Rechtsgrundlage, Einwilligung usw.) und der Zwecke der Verarbeitung von der Rechtsgrundlage bzw. der Einwilligung umfasst ist.
Transparenz
Die betroffene Person muss wissen, wer welche Daten für welchen Zweck verarbeitet. Daher gibt es umfangreiche Betroffenenrechte (z. B. Informationspflichten, Auskunftsrechte, recht auf Berichtigung der Daten, Widerspruchsrecht).
Zweckbindung
Die Daten dürfen nur für die genannten Zwecke verarbeitet werden. Ausnahmen sind vorgesehen für sog. kompatible Zwecke, also Zweckänderungen, die aber mit dem ursprünglichen Zweck eng zusammenhängen.
Datenminimierung
Es dürfen nur die personenbezogenen Daten verarbeitet werden, die für die Zweckerreichung notwendig sind.
Richtigkeit
Die Daten müssen richtig sein, anderenfalls müssen sie berichtigt oder gelöscht werden.
Speicherbegrenzung
Die Datensparsamkeit ist hierbei zu beachten, also die Frage, wann Daten nicht mehr benötigt und daher gelöscht werden können. Zudem sind alle Möglichkeiten zur Anonymisierung von Daten zu nutzen.
Integrität und Vertraulichkeit
Die DSGVO verknüpft sehr stark den Datenschutz mit der Technik. Die IT-Verfahren müssen somit schon von Anfang an darauf ausgerichtet sein, möglichst wenig personenbezogene Daten verarbeiten zu können (privacy by design).
Rechenschaftspflicht
Das ist der wichtigste Aspekt der Grundsätze! Die verantwortliche Stelle, also das Unternehmen oder die Institution sind verantwortlich für den Datenschutz und seine Beachtung. Dazu ist ein Datenschutzmanagement notwendig – natürlich abhängig von der Größe des Unternehmens, der personenbezogenen Daten, die verarbeitet werden und der Menge und der Qualität der Daten.
Zumindest muss aber auch in kleineren und mittleren Unternehmen ein Mindestmaß an Dokumentation vorhanden sein, um die Einhaltung des Datenschutzes nachweisen zu können. Denn die Verletzung der Datenschutzpflichten zieht empfindliche Bußgelder nach sich: Bis zu 20 Mio. Euro oder 4 Prozent des weltweiten Umsatzes können von den Aufsichtsbehörden verhängt werden.
Welche Rechtsgrundlagen zur Verarbeitung personenbezogener Daten gibt es?
Art. 6 DSGVO enthält einen abschließenden Katalog von Rechtsgrundlagen, nach denen eine Verarbeitung rechtmäßig ist:
Wichtigste Rechtsgrundlagen sind die Einwilligung, die Erfüllung eines Vertrages, rechtliche Verpflichtungen sowie berechtigte Interessen des Verantwortlichen. Die Erfüllung einer Rechtsgrundlage ist ausreichend. Verarbeiten Sie zum Beispiel Daten ausschließlich zum Zweck der Erfüllung von Verträgen, ist eine weitere Einwilligung in der Regel nicht notwendig.
Wollen Sie personenbezogene Daten über die Vertragserfüllung hinaus z.B. für eine dauerhafte Kundenkartei, einen Online-Account oder für werbliche Zwecke verarbeiten, benötigen Sie die Einwilligung der betroffenen Person. Die Einwilligung kann schriftlich oder elektronisch erfolgen und muss protokolliert werden. Eine Einwilligungserklärung könnte z.B. lauten: "Ich willige in die Verarbeitung meiner personenbezogenen Daten (zur Eröffnung eines Online-Kontos/zum Newsletter-Versand/...) ein. Diese Einwilligung kann ich jederzeit für die Zukunft widerrufen." Die Gegenleistung darf grundsätzlich nicht an die Einwilligung gebunden werden (Kopplungsverbot).
→ Weitere Informationen sind für Sie abrufbar in unserem Artikel “Die Einwilligung nach der DSGVO”.
Werden mehrere Rechtsgrundlagen erfüllt (z.B. Vertragserfüllung und rechtlich verpflichtende Aufbewahrungsfristen nach dem Steuer- und Handelsrecht) und entfällt später eine dieser Grundlagen, so ist die Verarbeitung auch auf die Erfüllung dieser Pflichten zu beschränken.
Gibt es Vorlagen für das erforderliche Verzeichnis der Verarbeitungstätigkeiten?
Ja, eine unter den Datenschutzbehörden abgestimmte Vorlage für Verantwortliche, die den Anforderungen des Art. 30 DSGVO entspricht, finden sie zusammen mit Hinweisen zum korrekten Ausfüllen rechts oben verlinkt. Eine Vorlage für Auftragsverarbeiter ist ebenfalls verfügbar. Zusätzlich bietet das LDA Bayern Beispielverzeichnisse für ausgewählte Unternehmensbranchen an.
Wie erfülle ich die Informationspflichten?
Werden personenbezogene Daten erhoben, ist dem Betroffenen noch vor der Verarbeitung gemäß Art. 13 DSGVO eine Liste grundlegender Informationen zur Verfügung zu stellen. Dies gilt sowohl bei Vertragsschluss vor Ort als auch im Internet.
Den Umfang der Informationspflichten können Sie unserer Checkliste zur Datenschutzerklärung und dem Kurzpapier Nr. 10 entnehmen.
Bei der Verarbeitung personenbezogener Daten auf Ihrer Website (z.B. per Kontaktformular, Cookies, Zugriffsprotokollierung oder Benutzerkonto) müssen Sie gegenüber dem Besucher diese Informationen noch vor der Verarbeitung erfüllen. Kostenlose Generatoren für Mustererklärungen finden Sie im Internet.
Was ist Auftragsverarbeitung und gibt es Vorlagen für Verträge?
Auftragsverarbeitung liegt vor, wenn eine dritte Stelle personenbezogene Daten im Auftrag (d.h. unter Weisung) des Verantwortlichen verarbeitet. Informationen und Beispiele finden Sie im Kurzpapier Nr. 13. Vertragsvorlagen bietet u.a. die GDD e.V. an. Viele größere Unternehmen wie Webhoster oder Soziale Netzwerke bieten eigene Vertragsvorlagen in ihren Hilfebereichen zum Download an.
Welche Unternehmen müssen eine/n betriebliche/n Datenschutzbeauftragten bestellen?
Auch seit dem 25. Mai 2018 müssen in der Regel nur Unternehmen ab einer bestimmten Größe eine/n Datenschutzbeauftragte/n (DSB) bestellen. Die Regelung dazu findet sich in § 38 BDSG. Danach muss ein/e Datenschutzbeauftragte/r nur von Unternehmen bestellt werden, die in der Regel mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.
Unabhängig von der Anzahl der Beschäftigten müssen Unternehmen eine/n DSB bestellen, wenn sie Verarbeitungen vornehmen, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen (z. B. weitgehende Videoüberwachungen im öffentlichen Bereich, Profiling) oder wenn sie geschäftsmäßig Daten verarbeiten zum Zweck der Übermittlung (z. B. Wirtschaftsauskunfteien), der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung.
Antworten auf häufige Fragen zu den Anforderungen an betriebliche Datenschutzbeauftragte sind abrufbar in unserem → Betrieblicher Datenschutzbeauftragter und im Kurzpapier Nr. 12.
Welche Regeln gelten im Beschäftigtendatenschutz?
Der neu geltende § 26 BDSG deckt sich inhaltlich weitgehend mit dem alten Recht. In unserem Artikel geben wir Ihnen → Antworten auf wichtige Fragen zum Beschäftigtendatenschutz. Dort abrufbar ist auch ein Prüfschema für Betriebsvereinbarungen und eine Muster-Verpflichtungserklärung für Beschäftigte.
Weitere Informationen
Wir stellen Ihnen umfangreiche und kompakte Informationen über die Änderungen der Datenschutz-Grundverordnung (DSGVO) zur Verfügung:
- Datenschutz-Grundverordnung (interner Link mit kompakten Informationen)
- EU-Datenschutz-Grundverordnung - "DSGVO"
- Bundesdatenschutzgesetz - "BDSG neu"