Datenschutz FAQ: Wirklich verwirrende Fragen und klare Antworten

Inhalt

Wen betrifft die DS-GVO?
Was sind personenbezogene Daten?
Was sind “besondere Kategorien” personenbezogener Daten?
Gilt die DS-GVO auch für Privatpersonen?
Was sind TOMs?
Muss ein Unternehmen auf eine Betroffenen-Anfrage reagieren und wenn ja wie?
Was ist eine Datenschutz-Folgeabschätzung und wann muss diese vorgenommen werden?
Wer muss einen Datenschutzbeauftragten bestellen?
Welche Vorteile hat ein externer Datenschutzbeauftragter gegenüber einem intern bestellten Datenschutzbeauftragten?
Was kostet ein externer Datenschutzbeauftragter im Vergleich zu einer internen Bestellung?
Welche Aufgaben hat ein Datenschutzbeauftragter?
Was sollte bei der Benennung eines externen Datenschutzbeauftragten beachtet werden?
Wann spricht man von einer Datenschutzpanne?
Wann muss eine Datenschutzpanne gemeldet werden?
Welche Konsequenzen hat ein Datenschutzverstoß?
Was ist eine Datenschutzerklärung und wofür wird sie benötitgt?
Welche Informationspflichten haben Unternehmen gegenüber Betroffenen?
Gibt es Ausnahmen zu den datenschutzrechtlichen Informationspflichten?
Welche Informationspflichten sind beim Newsletterversand zu beachten?
Ist eine Datenschutzerklärung für eine Facebook-Seite erforderlich?
Was ist beim Datentransfer in ein Land außerhalb der EU zu beachten?
Welche Drittländer haben einen Angemessenenheitsbeschluss mit der EU?
Unter welchen rechtlichen Voraussetzungen ist eine Videoüberwachung zulässig?
Was bedeutet “Verbot mit Erlaubnisvorbehalt“?
Was ist bei der Verarbeitung von Gesundheitsdaten zu beachten?
Was ist ein Auftragsverarbeiter?
Wann muss ein Vertrag zur Auftragsverarbeitung abgeschlossen werden?
Was ist das Verzeichnis der Verarbeitungstätigkeiten?

Allgemeines

Unsere Antworten auf allgemeine Fragen zum Thema Datenschutz:

Wen betrifft die DS-GVO?

Die Datenschutz-Grundverordnung (DS-GVO) gilt für alle Unternehmen, die in der EU ansässig sind und personenbezogene Daten automatisiert verarbeiten. Auch Unternehmen außerhalb der EU müssen die DS-GVO beachten, wenn sie eine Niederlassung in der EU haben oder Daten von EU-Bürgern verarbeiten.

Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die eine natürliche Person bestimmen oder bestimmbar machen. Dies sind neben allgemeinen Daten, wie zum Beispiel Name, Anschrift, Geburtsdatum, E-Mail, Adresse, Beruf und Staatsangehörigkeit auch sensiblere Daten, die einen erhöhten Schutzbedarf haben und damit strengeren Vorschriften bei der Datenverarbeitung unterliegen. Diese Daten werden den “besonderen Kategorien” von personenbezogene Daten zugeordnet. Auch die IP-Adresse stellt ein personenbezogenes Datum dar.

Was sind “besondere Kategorien” personenbezogener Daten?

Neben den allgemeinen personenbezogenen Daten existieren auch besonders sensible Daten, die in die Kategorie der besonderen personenbezogenen Daten fallen (s. Art. 9 DS-GVO): Dies beinhaltet Daten rassischer und ethnischer Herkunft, politische Meinung, religiöse Weltanschauung, Gewerkschaftszugehörigkeit, Gesundheitsdaten, biometrische Daten, genetische Daten, Daten zum Sexualleben oder zur sexuellen Orientierung. Diese Datenkategorien werden in der Verarbeitung vom Gesetzgeber als besonders schützenswert eingestuft.

Gilt die DS-GVO auch für Privatpersonen?

Die Bestimmungen der DS-GVO gelten nicht, wenn personenbezogene Daten nur für persönliche Zwecke im privaten oder familiären Umfeld genutzt oder verarbeitet werden.  Somit fällt z.B. das Speichern von Kontaktdaten in einem privaten Adressbuch nicht unter die Regelung der DS-GVO.

Es gibt jedoch Bereiche bei denen Privatpersonen bei der Verarbeitung personenbezogener Daten aufpassen müssen: So ist grundsätzlich das Recht am eigenen Bild zu achten. Soll beispielsweise im Privatbereich das Foto einer anderen Person in sozialen Netzwerken gepostet werden, erfordert dies nach dem allgemeinen Persönlichkeitsrecht die vorherige freiwillige Einwilligung des Abgebildeten.

Was sind TOMs?

TOMs steht für „technische und organisatorische Maßnahmen“. Diese Maßnahmen sollen die Sicherheit der Verarbeitung von personebezogenen Daten gewährleisten. Der Verantwortliche ist verpflichtet, angemessene TOM zum Schutz der verarbeiteten Daten umzusetzen und hat dabei die Sensibilität der verarbeiten Daten, die Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen sowie die Implementierungskosten zu berücksichtigen.

Muss ein Unternehmen auf eine Betroffenen-Anfrage reagieren und wenn ja wie?

Stellt eine betroffene Person (z.B. Kunde, Mitarbeiter, andere Personen) eine Auskunftsanfrage an ein Unternehmen, so macht diese von ihrem Betroffenen-Recht nach Art. 15 DS-GVO Gebrauch. In diesem Fall hat das Unternehmen eine Auskunftspflicht gegenüber dem Betroffenen und muss innerhalb einer Frist von 30 Tagen Auskunft geben. Die Auskunft beinhaltet u.a. Angaben, ob und wenn ja welche Daten, wie zu welchem Zweck und über welche Dauer gespeichert werden. Zudem muss der betroffenen Person eine Kopie der verarbeiteten personenbezogenen Daten ausgehändigt werden.

Was ist eine Datenschutz-Folgeabschätzung und wann muss diese vorgenommen werden?

Die Datenschutz-Folgeabschätzung (DSFA) ist eine Analyse der Risiken einzelner Datenverarbeitungen in Bezug auf die Rechte und Freiheiten von Betroffenen. Dabei wird bewertet, ob eine Datenverarbeitung aufgrund der Art, des Umfangs, der Umstände und der Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

Die DSFA ist insbesondere in folgenden Fällen erforderlich:

  • Bei systematischer und umfassender Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen.
  • Wenn umfangreiche Daten der besonderen Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 DS-GVO verarbeitet werden.
  • Bei systematischer umfangreicher Überwachung öffentlich zugänglicher Bereiche (Videoüberwachung).

Die Aufsichtsbehörden haben eine Orientierungshilfe mit Kriterien veröffentlicht, wann eine DSFA verlangt wird, siehe: www.lda.bayern.de/media/dsfa_muss_liste_dsk_de.pdf

Die Durchführung einer DSFA ist ein komplexer Prozess. Der Datenschutzbeauftragte kann bei der Erstellung beraten.

Datenschutzbeauftragter

Unsere Antworten auf Fragen zu Bestellpflicht und Aufgaben des Datenschutzbeauftragten:

Wer muss einen Datenschutzbeauftragten bestellen?

Ein Datenschutzbeauftragter muss bestellt werden, wenn in einem Unternehmen in der Regel mindestens 20 Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind. Dabei werden alle Personen gezählt, die eine regelmäßige und ständige Datenverarbeitung im Unternehmens ausführen. Das können Beschäftigte, Praktikanten oder ehrenamtlich tätige Personen sein. Unabhängig von der Personenanzahl eines Unternehmens muss auch dann ein Datenschutzbeauftragter bestellt werden, wenn Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgeabschätzung nach Art. 35 DS-GVO unterliegen oder wenn die Kerntätigkeit des Unternehmens in der Verarbeitung besonders sensibler Daten liegt bzw. eine umfangreiche oder systematische Beobachtung von Personen beinhaltet.

Welche Vorteile hat ein externer Datenschutzbeauftragter gegenüber einem intern bestellten Datenschutzbeauftragten?

Bei der Entscheidung ob ein interner oder externer Datenschutzbeauftragter bestellt wird, sind Faktoren wie z.B. Fachwissen, Haftung, Kündigung und Kosten zu berücksichtigen. Ein externer Datenschutzbeauftragter verfügt über zertifizierte und fundierte Fachkunde. Er ist stets auf dem aktuellen Stand der Entwicklungen im Datenschutzrecht. Ein externer Datenschutzbeauftragter minimiert das Haftungsrisiko des Unternehmens. Er hat keinen besonderen Kündigungsschutz. Kündigungsfristen für das Mandat werden vertraglich geregelt. Die Kosten für die externe Dienstleistung sind den Kosten für Gehalt, sowie Aus- und Weiterbildungskosten eines internen Datenschutzbeauftragten gegenüberzustellen.

Was kostet ein externer Datenschutzbeauftragter im Vergleich zu einer internen Bestellung?

Bei der Bestellung eines externen Datenschutzbeauftragten fallen zunächst unterschiedliche Kosten für die Bestandsaufnahme an. Bei der OBSECOM GmbH ist der erste Schritt üblicherweise ein umfangreicher Audit, der separat abgerechnet wird. Für die fortflaufende Zusammenarbeit wird eine monatliche Pauschale vereinbart. Die Höhe der Pauschale ist abhängig vom Beratungsbedarf des Unternehmens. Da ein interner Datenschutzbeauftragte ausgebildet und regelmäßig fortzubilden ist, fallen die Gesamtkosten für einen externen Datenschutzbeauftragten, langfristig betrachtet, voraussichtlich geringer aus. Interne Datenschutzbeauftragte genießen zudem einen besonderen Kündigungsschutz. Somit kann die interne Bestellung noch kostspieliger werden, wenn sich das Unternehmen von dem Mitarbeiter trennen möchte.

Welche Aufgaben hat ein Datenschutzbeauftragter?

Gemäß Art. 39 DS-GVO berät und unterrichtet der Datenschutzbeauftragte die Geschäftsleitung und Beschäftigte hinsichtlich ihrer Pflichten nach der DS-GVO und anderer Datenschutzvorschriften in der Verarbeitung personenbezogener Daten. Der Datenschutzbeauftragte überwacht die Einhaltung der Verordnung und macht Vorschläge zur Verbesserung. Kommt es zu einer Datenschutz-Folgeabschätzung kann der Datenschutzbeauftragte beratend hinzugezogen werden. Der Datenschutzbeauftragte ist zudem das Bindeglied zwischen der Aufsichtsbehörde, den Betroffenen und dem Unternehmen.

Was sollte bei der Benennung eines externen Datenschutzbeauftragten beachtet werden?

Bei der Auswahl eines externen Datenschutzbeauftragten sollte auf dessen berufliche Qualifikation und insbesondere sein Fachwissen geachtet werden. Der Datenschutzbeauftragte soll auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis kompetent sein und sich regelmäßig fortbilden. Die Auswahl einer geeigneten Person fällt leichter, wenn der Datenschutzbeauftragte Mitglied in Fachverbänden ist und eine entsprechende Expertise in IT-Recht, dem Beschäftigtendatenschutz oder anderen, für das Unternehmen wichtigen Datenschutzthemen hat.

Datenschutzpanne

Unsere Antworten auf Fragen zu Datenschutzpannen und Meldepflichten:

Wann spricht man von einer Datenschutzpanne?

Eine Datenschutzpanne (Datenschutzverletzung) liegt vor, wenn die Sicherheit oder der Schutz personenbezogener Daten verletzt wird. Dabei ist irrelevant, ob dies unbeabsichtigt oder unrechtmäßig geschieht. Eine Datenschutzverletzung kann z.B. durch den Verlust oder die Vernichtung von personenbezogenen Daten entstehen, oder wenn personenbezogene Daten einem Dritten unbefugt offengelegt oder zugänglich gemacht werden (z.B. Hackerangriff).

Wann muss eine Datenschutzpanne gemeldet werden?

Eine Datenschutzpanne ist zu melden, wenn die Verletzung des Schutzes personenbezogener Daten zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Im Falle einer Verletzung muss die Meldung unverzüglich und möglichst binnen 72 Stunden nachdem die Verletzung bekannt wurde der zuständigen Aufsichtsbehörde gemeldet werden. Eine Meldepflicht besteht jedoch nicht, wenn der Verstoß voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führt. Das Risiko muss sorgfältig abgewogen werden und die Entscheidungsgründe sind schriftlich und nachvollziehbar zu dokumentieren.

Welche Konsequenzen hat ein Datenschutzverstoß?

Je nach Schwere des Datenschutzverstoßes, kann von der Aufsichtsbehörde ein Bußgeld verhängt werden. Bei der Entscheidung über die Höhe einer Geldbuße muss der Einzelfall betrachtet werden. Dabei sind unter anderem Schwere und Dauer des Verstoßes zu berücksichtigen, vorsätzliches oder fahrlässiges Handeln des Verantwortlichen und welche Art personenbezogener Daten vom Verstoß betroffen sind. Die DS-GVO ermöglicht das Verhängen von Geldbußen von bis zu 20 Mio. EUR oder im Fall eines Unternehmens von bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vergangenen Geschäftsjahr.

Informationspflichten

Unsere Antworten auf Fragen zu Informationspflichten:

Was ist eine Datenschutzerklärung und wofür wird sie benötitgt?

Immer dann, wenn ein verantwortliches Unternehmen personenbezogene Daten erhebt, verarbeitet, nutzt oder an Dritte weitergibt, muss es die Betroffenen über die Verarbeitung dieser Daten zum Zeitpunkt der Erhebung aufklären. Diese Information wird durch die Datenschutzerklärung erteilt. In Bezug auf die Datenverarbeitung durch eine Webseite soll die Datenschutzerklärung generell leicht zugänglich auf der Website zu finden sein. Je nachdem zu welchen Zwecken das Unternehmen sonst noch personenbezogene Daten verarbeitet, müssen weitere Datenschutzerklärungen vorgehalten werden (z.B. für Beschäftigte, Kunden und Geschäftspartner).

Welche Informationspflichten haben Unternehmen gegenüber Betroffenen?

Verantwortliche Unternehmen müssen zum Zeitpunkt der Erhebung von personenbezogenen Daten die Betroffenen über Umfang und Zwecke der Datenverarbeitung informieren. Betroffene können Kunden, Mitarbeiter und Bewerber sein, aber auch Interessenten. Den Umfang der Auskunftserteilung ist in den Artikeln 13 und 14 DS-GVO geregelt. Dazu gehören:

  • Name und Kontaktdaten des Verantwortlichen sowie ggf. die Kontaktdaten des Datenschutzbeauftragten.
  • Zweck und Rechtsgrundlage der Verarbeitung von personenbezogenen Daten.
  • Sofern die Verarbeitung auf einem berechtigten Interesse nach Art. 6 (1)(f) DS-GVO beruht, muss der Verantwortliche diese Interessen einzeln aufzählen.
  • Die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten: Empfänger können auch interne Abteilungen, Auftragsverarbeiter oder Dritte sein.
  • Die Absicht des Verantwortlichen die Daten an ein Drittland außerhalb der EU zu übermitteln.
  • Angaben zur Speicherdauer der personenbezogenen Daten.
  • Aufklärung über Betroffenenrechte: Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch und Beschwerderecht.
  • Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde.

Gibt es Ausnahmen zu den datenschutzrechtlichen Informationspflichten?

Ja, eine Information nach Art. 13 DS-GVO muss nicht erneut erteilt werden, wenn die betroffene Person bereits über die Informationen verfügt. Eine Information zur Datenverarbeitung über Dritte nach Art. 14 DS-GVO muss ausserdem nicht erteilt werden, wenn die Erteilung der Information sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde.

Welche Informationspflichten sind beim Newsletterversand zu beachten?

Da bei Versand eines Newsletters personenbezogene Daten verarbeitet werden, sind auch hier die Informationspflichten der DS-GVO einzuhalten. Der Empfänger eines Newsletters muss über die Verarbeitung seiner zur Verfügung gestellten personenbezogenen Daten umfassend informiert werden. Da die Anmeldung zum Newsletter üblicherweise auf der Einwilligung des Empfängers basiert, soll die Information alle relevanten Angaben enthalten, um dem Empfänger eine freie Entscheidung zu ermöglichen. Idealerweise beschreibt die Datenschutzerklärung, wie mit den Nutzerdaten im Rahmen des Newsletter-Versands umgegangen wird und durch welche externen Dienstleister die Verarbeitung erfolgt. Die Datenschutzerklärung soll zum Zeitpunkt der Datenerhebung (der Anmeldung am Newsletter) einsehbar sein und kann danach bei jedem Versand des Newsletters mittels eines in die E-Mail integrierten Links zugänglich gemacht werden.

Ist eine Datenschutzerklärung für eine Facebook-Seite erforderlich?

Wird eine öffentlich zugängliche Facebook-Fanpage (Facebook-Unternehmensseite) betrieben, so muss auf dieser eine Datenschutzerklärung veröffentlicht werden. Entweder über einen Menüpunkt, einen Seitenreiter oder einen Eintrag im App-Bereich. Dabei kann entweder der vollständige Text oder eine Verlinkung auf ein externes Dokument (z.B. auf der Firmenhomepage) integriert werden. Der Betreiber einer Fanpage und Facebook sind gemeinsam verantwortlich für die Datenverarbeitung auf der Plattform. Beide Stellen müssen über die jeweils von ihnen verantwortete Datenverarbeitung informieren. Im Besonderen soll die Datenschutzerklärung Hinweise enthalten, an welche Stelle Betroffene sie sich wenden können, wenn Sie ihre Betroffenenrechte in Anspruch nehmen möchten.

Internationaler Datentransfer

Unsere Antworten auf Fragen zum internationalen Datentransfer:

Was ist beim Datentransfer in ein Land außerhalb der EU zu beachten?

Nach dem Grundsatz der DS-GVO gilt, dass personenbezogene Daten nur dann in ein Drittland übermittelt werden dürfen, wenn die entsprechenden Vorgaben der DS-GVO eingehalten werden und der Schutz der personenbezogenen Daten im Drittland gewährleistet ist. Unter folgenden Voraussetzungen dürfen Daten an ein Drittland übermittelt werden:

 

  • Auf Grundlage eines Angemessenenheitsbeschlusses (Art. 45 DS-GVO):
    Das Drittland muss ein angemessenes Schutzniveau bieten. Hierbei stehen vor allem die Rechtsstaatlichkeit, die Achtung der Menschenwürde und Grundfreiheiten im Fokus der EU-Kommissions-Prüfung. Es muss zudem gewährleistet werden, dass es unabhängige Aufsichtsbehörden in dem Drittland gibt, die wirksam die Datenschutzvorschriften durchsetzt und deren Einhaltung prüft.
  • Auf Grundlage vorbehaltlich geeigneter Garantien (Art. 46 DS-GVO):
    Liegt kein Angemessenheitsbeschluss vor, dürfen personenbezogene Daten auch dann an ein Drittland übermittelt werden, wenn der Datenexporteur geeignete Garantien vorgesehen hat und dem Betroffenen durchsetzbare Rechte und wirksame Rechtsbehelfe im Drittland zur Verfügung stehen. Hier greifen zum Beispiel die von der Europäischen Kommission beschlossenen Standardvertragsklauseln. Akzeptieren alle Vertragspartner diese Klauseln, ist keine weitere Genehmigung durch die Behörde nötig.
  • In grossen internationalen Konzernen kann eine Datenübermittlung auf Grundlage verbindlicher interner Datenschutzvorschriften zulässig sein (Art. 47 DS-GVO), die zuvor von den zuständigen Aufsichtsbehörden genehmigt wurden.
  • Für bestimmte Fälle gibt es Ausnahmen, die eine Datenübermittlung auch ohne Angemessenheitsbeschluss und sonstige Garantien möglich macht (Art. 49 DS-GVO): Dazu gehört u.a. die Einwilligung der betroffenen Person. Dafür müssen die Betroffenen jedoch vorab über mögliche Risiken der Datenübermittlung aufgeklärt werden.

Welche Drittländer haben einen Angemessenheitsbeschluss mit der EU?

Mit diesen 12 Ländern hat die EU einen Angemessenheitsbeschluss: Andorra, Argentinien, Kanada (mit Einschränkungen), Färöer-Inseln, Guernsey, Isle of Man, Israel, Japan, Jersey, Neuseeland, Schweiz, Uruguay.

 

Rechtsgrundlagen

Unsere Antworten auf Fragen zu Rechtsgrundlagen:

Unter welchen rechtlichen Voraussetzungen ist eine Videoüberwachung zulässig?

Wenn eine Videoüberwachung im öffentlichen Bereich oder in einem Unternehmen installiert werden soll, muss die Erforderlichkeit des Einsatzes und die Zweckmäßigkeit der Überwachung vorab geprüft werden. Eine Videoüberwachung ist nur zulässig wenn sie das einzige Mittel zur Zielerreichung ist und keine alternativen milderen Maßnahmen zur Verfügung stehen.

Eine geeignete Rechtsgrundlage ist üblicherweise das berechtigte Interesse des Verantwortlichen oder eines Dritten nach Art. 6 Abs. 1 lit. f) DS-GVO. Danach ist die Verarbeitung personenbezogener Daten nur zulässig, wenn in der Abwägung der unterschiedlichen Interessen von Verantwortlichen und Betroffenen die berechtigten Interessen des Verantwortlichen gegenüber den Rechten und Freiheiten der überwachten Personen überwiegen. Ein berechtiges Interesse kann z.B. eine tatsächliche Gefahrenlage sein (ein vorangegangener Einbruch, Gewalt oder Hausfriedensbruch).

Was bedeutet “Verbot mit Erlaubnisvorbehalt“?

Die Rechtfertigung zur Verarbeitung von personenbezogenen Daten nach der DS-GVO basiert auf dem Prinzip des „Verbotes mit Erlaubnisvorbehalt“. Danach ist die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten zunächst verboten und im Einzelfall nur dann rechtmäßig, wenn es die in Artikel 6 DS-GVO beschriebenen Bedingungen „erlauben“. Folgende Bedingungen als Grundlage für eine Verarbeitung kommen im Alltag häufiger in Betracht: die Einwilligung des Betroffenen, die Erfüllung eines Vertrages oder einer rechtlichen Pflicht sowie das berechtigte Interesse des Verantwortlichen. Zudem gibt es noch weitere Rechtsgrundlagen, wie der Schutz lebenswichtiger Interessen, die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt.

Was ist bei der Verarbeitung von Gesundheitsdaten zu beachten?

Gesundheitsdaten (und damit auch Patientendaten) fallen in die Kategorie der besonders schützenswerten personenbezogenen Daten nach Art. 9 DS-GVO. Geraten solch Datenkategorien in falsche Hände, ist das Risiko für die Rechte und Freitheiten der Betroffenen besonders hoch. Daher dürfen diese Daten auch nur unter bestimmten Voraussetzungen verarbeitet werden. Zum Beispiel:

  • die betroffene Person hat in die Verarbeitung der genannten Daten ausdrücklich eingewilligt,
  • die Datenverarbeitung ist aus arbeitsrechtlichen oder sozialrechtlichen Gründen gefordert (z.B. Gesundheitsvorsorge, Arbeitsmedizin oder Behandlung im Gesundheits oder Sozialbereich),
  • ein Behandlungsvertrag mit einem Angehörigen eines Gesundheitsberufes (z.B. Arzt),
  • die Verarbeitung im Interesse der öffentlichen Gesundheit oder zum Schutz lebenswichtiger Interessen erforderlich ist,
  • die betroffene Person diese Daten bereits selbst öffentlich gemacht hat.

Sonstige Pflichten

Unsere Antworten auf Fragen zu sonstigen datenschutzrechtlichen Pflichten:

Was ist ein Auftragsverarbeiter?

Ein Auftragsverarbeiter ist eine natürliche oder juristische Person (ein Unternehmen), Behörde oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Der Auftragsverarbeiter darf die zur Verarbeitung übermittelten personenbezogene Daten nur auf Anweisung des Verantwortlichen und auf Grundlage eines Vertrages verarbeiten. Der Auftragsverarbeiter muss geeignete technische und organisatorische Maßnahmen zum Schutz der Daten umsetzen. Beispiele für Auftragsverarbeiter sind IT-Dienstleister, Cloud-Provider oder Aktenvernichtungsunternehmen. Steuerberater oder Rechtsanwälte sind jedoch keine Auftragsverarbeiter, da diese eigenverantwortlich tätig sind.

Wann muss ein Vertrag zur Auftragsverarbeitung abgeschlossen werden?

Ein Vertrag zur Auftragsverarbeitung muss immer dann abgeschlossen werden, wenn ein externer Dienstleister auf personenbezogene Daten zugreift und diese weisungsgebunden im Auftrag des Verantwortlichen verarbeitet.

Was ist das Verzeichnis der Verarbeitungstätigkeiten?

Nach der DS-GVO ist jede Stelle, die personenbezogene Daten verarbeitet, dazu verpflichtet die Verarbeitungsvorgänge in einem Verzeichnis aufzuführen und zu dokumentieren. Welche Angaben das Verzeichnis enthalten muss, regelt Artikel 30 DS-GVO. Das Verzeichnis enthält unter anderem folgende Angaben: Zwecke der Verarbeitung, Beschreibung der Kategorien betroffener Personen, Kategorien von Empfängern, Datenübermittlung an Drittländer, Löschfristen und eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen. Ein lückenhaftes oder gar fehlendes Verzeichnis kann nach Art. 83 Abs.4 DS-GVO mit Bußgeldern geahndet werden.