Recht und Compliance
Datenschutz: Begriffe und FAQs
ACHTUNG: In Bearbeitung
Wichtige Begriffe aus dem Datenschutz
Datenschutz
Der Begriff Datenschutz bezieht sich auf die Praxis, personenbezogene Daten zu schützen, indem deren Erhebung, Verarbeitung, Speicherung und Weitergabe durch Organisationen, Unternehmen oder Regierungen reguliert und kontrolliert wird. Das Ziel des Datenschutzes ist es, die Privatsphäre und die Rechte Einzelner in Bezug auf ihre persönlichen Daten zu wahren und sicherzustellen, dass diese Daten nicht missbräuchlich verwendet werden.
Personenbezogene Daten
Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Das bedeutet, dass diese Daten entweder direkt Informationen über eine Person enthalten oder in Verbindung mit anderen Informationen verwendet werden können, um eine Person zu identifizieren. Beispiele für personenbezogene Daten sind Name, Adresse, Geburtsdatum, Telefonnummer, E-Mail-Adresse, IP-Adressen und andere Daten, die spezifisch einer Person zugeordnet werden können. Der Schutz personenbezogener Daten ist ein wesentlicher Bestandteil des Datenschutzes.
Personenbezogene Daten besonderer Kategorie (sensible Daten)
Sensible Daten sind eine Unterkategorie von personenbezogenen Daten, die besonders schützenswert sind, da ihre Verarbeitung das Risiko von Diskriminierung oder anderen schwerwiegenden Folgen für die betroffenen Personen erhöhen kann. Zu diesen Daten gehören Informationen zu ethnischer Herkunft, zu politischen Meinungen oder weltanschaulichen Überzeugungen, zu Gesundheit oder Sexualleben, sowie genetische und biometrische Daten. Der Umgang mit sensiblen Daten unterliegt strengeren Datenschutzbestimmungen und erfordert meist eine explizite Einwilligung der betroffenen Person in die Verarbeitung.
Einwilligung in die Datenverarbeitung
Unter Einwilligung in die Datenverarbeitung versteht man, dass eine von dieser Verarbeitung betroffene Person der Verarbeitung ihrer Daten zustimmen muss. Eine Einwilligung muss informiert und freiwillig (ohne Zwang) erfolgen. Informiert heißt in diesem Zusammenhang, dass die betroffene Person Kenntnis über den Zweck der Datenverarbeitung, die Art der Daten, die Empfänger und mögliche Folgen hat. Eine Einwilligung kann jederzeit und ohne Nachteil für die betroffene Person widerrufen werden.
Neben der Einwilligung gibt es andere Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten.
Oft gestellte Fragen
Welche Rechte haben Einzelpersonen gemäß der DSGVO?
- Recht auf Auskunft über ihre gespeicherten Daten.
- Recht auf Berichtigung unrichtiger Daten.
- Recht auf Löschung ("Recht auf Vergessenwerden") unter bestimmten Bedingungen.
- Recht auf Einschränkung der Verarbeitung ihrer Daten.
- Recht auf Datenübertragbarkeit zu einem anderen Anbieter.
- Widerspruchsrecht gegen die Verarbeitung ihrer Daten.
- Recht auf Beschwerde bei einer Datenschutzbehörde.
Welche Rechtsgrundlagen für die Datenverarbeitung sieht die DSGVO vor?
Die Datenschutz-Grundverordnung (DSGVO) sieht mehrere Rechtsgrundlagen für die Datenverarbeitung vor. Zu den wichtigsten gehören:
-
Einwilligung der betroffenen Person: Die Verarbeitung ist rechtmäßig, wenn die betroffene Person ihre Einwilligung zur Verarbeitung ihrer personenbezogenen Daten für einen bestimmten Zweck gegeben hat.
-
Vertragserfüllung oder vorvertragliche Maßnahmen: Die Verarbeitung ist erforderlich zur Erfüllung eines Vertrags, in den die betroffene Person involviert ist, oder zur Durchführung vorvertraglicher Maßnahmen auf Anfrage der betroffenen Person.
-
Erfüllung einer rechtlichen Verpflichtung: Die Verarbeitung ist erforderlich zur Erfüllung einer rechtlichen Verpflichtung, der der Datenverantwortliche unterliegt.
-
Schutz lebenswichtiger Interessen: Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
-
Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt: Die Verarbeitung ist zur Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Datenverantwortlichen übertragen wurde.
-
Berechtigte Interessen: Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Datenverantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen, die den Schutz personenbezogener Daten erfordern.
Wann ist die Einwilligung zur Verarbeitung personenbezogener Daten erforderlich?
Die Einwilligung zur Verarbeitung personenbezogener Daten ist erforderlich, wenn die Verarbeitung auf der Grundlage der Einwilligung der betroffenen Person erfolgt und keine andere Rechtsgrundlage anwendbar ist, wie z.B. die Erfüllung eines Vertrags, rechtliche Verpflichtungen oder berechtigte Interessen. Die Einwilligung muss freiwillig, informiert, spezifisch und eindeutig sein.
Was ist eine Datenpanne?
Eine Datenpanne bezieht sich auf einen Vorfall, bei dem personenbezogene Daten unbeabsichtigt oder unrechtmäßig offengelegt, verändert, gelöscht oder auf andere Weise kompromittiert werden. Im Kontext des Datenschutzes wird eine Datenpanne auch als Datenschutzverletzung bezeichnet. Dies kann durch verschiedene Ursachen wie menschliches Versagen, technische Fehler oder absichtliche Handlungen verursacht werden. Datenschutzverletzungen können dazu führen, dass sensible Informationen in die falschen Hände geraten, was zu negativen Auswirkungen für die betroffenen Personen führen kann, wie z.B. Identitätsdiebstahl, finanzielle Schäden oder Rufschädigung. Es ist wichtig, Datenschutzverletzungen ernst zu nehmen und angemessene Maßnahmen zu ergreifen, um die Auswirkungen zu minimieren und die Sicherheit der betroffenen Daten zu gewährleisten.
Was sind die Meldepflichten bei einer Datenschutzverletzung?
Die Meldepflichten bei einer Datenschutzverletzung gemäß der Datenschutz-Grundverordnung (DSGVO) umfassen:
-
Benachrichtigung der Aufsichtsbehörde: Der Datenverantwortliche muss unverzüglich nach Feststellung einer Datenschutzverletzung die zuständige Aufsichtsbehörde darüber informieren, es sei denn, die Datenschutzverletzung ist unwahrscheinlich, ein geringes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt oder bereits angemessene Schutzmaßnahmen ergriffen wurden.
-
Benachrichtigung der betroffenen Personen: Wenn die Datenschutzverletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen zur Folge hat, muss der Datenverantwortliche diese Personen unverzüglich über die Datenschutzverletzung informieren, es sei denn, es liegen Ausnahmen vor, wie z.B. technische und organisatorische Schutzmaßnahmen, die die betroffenen Daten unverständlich gemacht haben.
Die Benachrichtigung muss klar und verständlich sein und mindestens folgende Informationen enthalten: eine Beschreibung der Art der Datenschutzverletzung, die betroffenen Kategorien personenbezogener Daten, die betroffenen Personen, die Kontaktdaten des Datenschutzbeauftragten oder einer anderen Anlaufstelle für weitere Informationen, eine Beschreibung der wahrscheinlichen Folgen der Datenschutzverletzung und der ergriffenen oder vorgeschlagenen Maßnahmen zur Abhilfe der Datenschutzverletzung sowie Empfehlungen für die betroffenen Personen, um sich vor möglichen negativen Auswirkungen zu schützen.
Welche Maßnahmen müssen Unternehmen ergreifen, um die Einhaltung der DSGVO sicherzustellen?
Um die Einhaltung der Datenschutz-Grundverordnung (DSGVO) sicherzustellen, müssen Unternehmen eine Reihe von Maßnahmen ergreifen, darunter:
-
Datenschutzrichtlinien und -verfahren entwickeln: Unternehmen müssen interne Datenschutzrichtlinien und -verfahren erstellen, die den Anforderungen der DSGVO entsprechen und sicherstellen, dass alle Mitarbeiter über ihre Datenschutzpflichten informiert sind.
-
Datenschutzbeauftragten ernennen: Wenn erforderlich, müssen Unternehmen einen Datenschutzbeauftragten ernennen, der für die Überwachung der Einhaltung der DSGVO verantwortlich ist und als Ansprechpartner für Datenschutzfragen fungiert.
-
Datenschutz-Folgenabschätzungen durchführen: Unternehmen müssen Datenschutz-Folgenabschätzungen (DSFA) durchführen, um potenzielle Risiken für die Rechte und Freiheiten betroffener Personen im Zusammenhang mit bestimmten Datenverarbeitungsaktivitäten zu bewerten und geeignete Schutzmaßnahmen zu ergreifen.
-
Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen umsetzen: Unternehmen sollten Datenschutzprinzipien bereits bei der Entwicklung von Produkten, Dienstleistungen und Systemen berücksichtigen und datenschutzfreundliche Voreinstellungen implementieren, um den Datenschutz zu fördern.
-
Sicherheitsmaßnahmen implementieren: Unternehmen müssen angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten vor unbefugtem Zugriff, Verlust oder Diebstahl ergreifen, einschließlich Verschlüsselung, Zugangskontrollen und regelmäßiger Sicherheitsüberprüfungen.
-
Einwilligung einholen: Wenn die Verarbeitung personenbezogener Daten auf Einwilligung beruht, müssen Unternehmen sicherstellen, dass die Einwilligung freiwillig, informiert, spezifisch und eindeutig ist und dass die betroffenen Personen das Recht haben, ihre Einwilligung jederzeit zu widerrufen.
-
Schulung der Mitarbeiter: Unternehmen sollten ihre Mitarbeiter regelmäßig über die Anforderungen der DSGVO und die Bedeutung des Datenschutzes schulen, um sicherzustellen, dass sie die Datenschutzbestimmungen verstehen und entsprechend handeln können.
-
Datenschutzverletzungen melden: Unternehmen müssen Datenschutzverletzungen unverzüglich an die zuständige Aufsichtsbehörde melden und gegebenenfalls auch die betroffenen Personen über die Verletzung informieren.
Indem Unternehmen diese Maßnahmen umsetzen, können sie sicherstellen, dass sie die Anforderungen der DSGVO einhalten und die Privatsphäre und die Rechte betroffener Personen angemessen schützen.
Wie lange dürfen personenbezogene Daten gespeichert werden?
Die Speicherfrist für personenbezogene Daten wird nicht direkt durch die Datenschutz-Grundverordnung (DSGVO) festgelegt, sondern hängt von verschiedenen Faktoren ab, einschließlich des Zwecks der Datenverarbeitung und der rechtlichen Anforderungen in jedem spezifischen Kontext. Grundsätzlich dürfen personenbezogene Daten nur so lange gespeichert werden, wie es für den Zweck, für den sie erhoben wurden, erforderlich ist.
Die DSGVO fordert, dass personenbezogene Daten nur so lange gespeichert werden dürfen, wie es für den Zweck der Verarbeitung erforderlich ist. Nach Erreichung des Verarbeitungszwecks müssen die Daten gelöscht oder anonymisiert werden, es sei denn, es liegen rechtliche Verpflichtungen oder berechtigte Interessen vor, die eine längere Speicherung rechtfertigen. Es ist wichtig, interne Aufbewahrungsrichtlinien zu entwickeln, die die Speicherfristen für verschiedene Arten von personenbezogenen Daten festlegen und sicherstellen, dass diese mit den Anforderungen der DSGVO übereinstimmen.
Wie können Betroffene ihr Recht auf Zugriff, Berichtigung oder Löschung ihrer personenbezogenen Daten ausüben?
Betroffene können ihr Recht auf Zugriff, Berichtigung oder Löschung ihrer personenbezogenen Daten gemäß der Datenschutz-Grundverordnung (DSGVO) auf folgende Weise ausüben:
-
Recht auf Zugriff (Artikel 15 DSGVO):
- Betroffene können den Datenverantwortlichen kontaktieren und eine Kopie ihrer personenbezogenen Daten anfordern, die verarbeitet werden.
- Der Datenverantwortliche ist verpflichtet, die angeforderten Informationen bereitzustellen und Auskunft über die Verarbeitungszwecke, die Kategorien der personenbezogenen Daten, die Empfänger oder Kategorien von Empfängern sowie die geplante Speicherdauer zu geben.
-
Recht auf Berichtigung (Artikel 16 DSGVO):
- Betroffene haben das Recht, unrichtige oder unvollständige personenbezogene Daten korrigieren oder vervollständigen zu lassen.
- Der Datenverantwortliche muss die erforderlichen Änderungen vornehmen und sicherstellen, dass die korrigierten Daten an Dritte übermittelt werden, wenn dies erforderlich ist.
-
Recht auf Löschung (auch als "Recht auf Vergessenwerden" bekannt) (Artikel 17 DSGVO):
- Betroffene können unter bestimmten Bedingungen die Löschung ihrer personenbezogenen Daten verlangen, z.B. wenn die Daten für die Zwecke, für die sie erhoben wurden, nicht mehr benötigt werden oder wenn die Verarbeitung unrechtmäßig erfolgt ist.
- Der Datenverantwortliche muss die angeforderten Daten löschen, es sei denn, es gibt rechtliche Gründe, die eine weitere Speicherung rechtfertigen, wie z.B. rechtliche Verpflichtungen oder die Ausübung des Rechts auf freie Meinungsäußerung und Informationsfreiheit.
Betroffene können diese Rechte in der Regel schriftlich oder elektronisch beim Datenverantwortlichen geltend machen. Der Datenverantwortliche ist verpflichtet, innerhalb einer angemessenen Frist auf solche Anfragen zu reagieren und die angeforderten Maßnahmen umzusetzen.
Sie haben noch Fragen?
Standort
Sankt Augustin
Raum
G226
Adresse
Grantham-Allee 20
53757 Sankt Augustin
Telefon
+49 2241 865 9683Anlaufstellen
Datenschutzreferent
Campus
Sankt Augustin
Raum
G 226
Sprechstunden
On weekdays: by prior agreement