Jedes Unternehmen, das Du nutzt oder bei dem Du beschäftigt sein könntest, muss bezüglich des Datenschutzes bestimmte Vorgaben beachten. Vielleicht hast Du bei einigen Internetseiten oder sozialen Netzwerken bemerkt, dass Du der Nutzung Deiner personenbezogenen Daten zustimmen musst.
Damit Du besser nachvollziehen kannst, welche personenbezogenen Daten in welcher Form durch die Unternehmen genutzt werden dürfen, thematisiert diese Erklärung die gesetzliche Regelung der DSGVO, deren Bedeutung und Anwendungsbereich und bestimmte Bereiche des Datenschutzes durch die DSGVO, wie personenbezogene Daten, Anonymisierung, Auskunftsrecht und Verarbeitungsverzeichnis.
DSGVO Gesetz
DSGVO ist eine Abkürzung für Datenschutz-Grundverordnung. Vollständig wird die DSGVO als Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) bezeichnet.
Bei der DSGVO handelt es sich um eine europarechtliche Verordnung.
Europarechtliche Verordnungen gelten, anders als Richtlinien, in allen Mitgliedstaaten der EU unmittelbar.
Die europarechtlich beschlossenen Verordnungen müssen nicht erst in nationale Gesetze umgesetzt werden. Daher gilt die DSGVO auch in dem EU-Mitgliedstaat Deutschland unmittelbar als gesetzliche Regelung.
Die Datenschutz-Grundverordnung ist am 25. Mai 2016 beschlossen worden und beansprucht gem. Art. 99 Abs. 2 DSGVO ab dem 25. Mai 2018 Geltung. Durch die zwei dazwischenliegenden Jahre wurde den Unternehmen ermöglicht, die Regelungen und Anforderungen der DSGVO umzusetzen.
Vorgaben der Datenschutz-Grundverordnung werden durch zusätzliche Regelungen des Bundesdatenschutzgesetzes (BDSG) konkretisiert. Von besonderer Bedeutung für das Arbeitsrecht ist § 26 BDSG. In § 26 BDSG ist der Beschäftigungsdatenschutz für Beschäftigte geregelt und es werden die Situationen beschrieben, in denen personenbezogene Daten von Beschäftigten verarbeitet werden dürfen.
Eine Situation, in der Du mir der DSGVO in Deinem Alltag bereits in Berührung gekommen sein wirst, ist während einer Bahnfahrt mit der Deutschen Bahn. Zur Vorbeugung von Gewalttaten sind die Züge videoüberwacht. Durch diese Videoüberwachung werden persönliche Daten erhoben und verarbeitet. Um über diese Verarbeitung zu informieren, ist in den Zügen bei jeder Tür eine Information angebracht. Dort sind die Regelungen und Vorgaben der DSGVO genannt und werden angewendet.
DSGVO Anwendungsbereich
Für wen und unter welchen Umständen der Anwendungsbereich der DSGVO eröffnet ist, ist in Art. 2 und Art. 3 DSGVO geregelt. In Art. 1 Abs. 1 DSGVO wird deutlich gemacht, dass die Verordnung für den Schutz natürlicher Personen gilt.
| Anwendungsbereich der DSGVO | |
| Anwendung: | - bei der automatisierten Verarbeitung personenbezogener Daten
- bei der nichtautomatisierten Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind
|
| Räumlicher Anwendungsbereich: | - Unternehmen, die in der EU ansässig sind
- erfasst auch Einzelunternehmungen, Gesellschaften mit beschränkter Haftung, Kommanditgesellschaften (alle Rechtsformen)
|
| Ausnahmen, in denen die DSGVO nicht gilt: | - bei Tätigkeiten außerhalb des Unionsrechts
- bei Tätigkeiten, die die Außen- und Sicherheitspolitik betreffen
- bei der Verarbeitung durch natürliche Personen zur Ausübung persönlicher oder familiärer Tätigkeiten
- bei der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung
|
Solltest Du mehr über die einzelnen Rechtsformen der Unternehmen erfahren wollen, kannst Du Dir die Erklärungen zum Thema Rechtsformen ansehen.
Die DSGVO ist daher in allen Fällen der Verarbeitung personenbezogener Daten durch eine elektronische Datenverarbeitung oder analoger Datensammlungen von allen Unternehmen zu beachten.
Soziale Netzwerke wie Facebook erstellen ein datenbezogenes Profil der Nutzenden, um unter anderem Werbung oder die vorgeschlagenen Beiträge auf die Vorlieben der Benutzenden anzupassen. Dadurch bedienen sie sich der Datensammlung von personenbezogenen Daten. Auch wenn Facebook kein europäisches Unternehmen ist, werden durch das Unternehmen personenbezogene Daten von EU-Bürgern verarbeitet, sodass das Unternehmen Facebook dem Anwendungsbereich der DSGVO unterliegt. Die Datenschutzbestimmungen von Facebook müssen sich daher im Rahmen der Vorgaben der Datenschutz-Grundverordnung halten.
DSGVO Zusammenfassung
Wichtige Regelungen der DSGVO sind unter anderem:
- Gegenstand und Ziele der Verordnung, Art. 1 DSGVO: Schutz der Privatsphäre und des allgemeinen Persönlichkeitsrechts
- Sachlicher und räumlicher Anwendungsbereich, Art. 2, 3 DSGVO: findet Anwendung bei jeder Verarbeitung personenbezogener Daten durch Unternehmen
- Begriffsbestimmungen, Art. 4 DSGVO: Definitionen wichtiger Begriffe der Verordnung
- Grundsätze der rechtmäßigen Verarbeitung personenbezogener Daten, Art. 5 ff. DSGVO: genau bestimmte Voraussetzungen, die eingehalten werden müssen, damit persönliche Daten verarbeitet und verwendet werden dürfen
- Rechte der betroffenen Personen, Art. 12 ff. DSGVO: Möglichkeiten der einzelnen Personen, Rechte einzufordern, die die Verarbeitung ihrer persönlichen Daten betreffen
DSGVO Bedeutung
Die Datenschutz-Grundverordnung soll natürliche Personen bei der Verarbeitung personenbezogener Daten schützen und regelt den freien Verkehr solcher Daten, Art. 1 Abs. 1 DSGVO. Durch die Regelungen der DSGVO werden daher die Rechte der EU-Bürger*innen in Bezug auf ihre persönlichen Daten gestärkt.
Vorrangig hat die DSGVO eine erhebliche Bedeutung im Bereich des Schutzes des Persönlichkeitsrechts der einzelnen natürlichen Personen. Unter die natürlichen Personen fallen auch Arbeitnehmer*innen, weshalb deren Arbeitnehmerdaten geschützt werden.
Insgesamt ist der Zweck und die Bedeutung der DSGVO, dass die Transparenz bei der Erhebung und Verarbeitung von persönlichen Daten verstärkt wird. Dies wird auch in Art. 1 Abs. 2 DSGVO deutlich:
Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.
Der Inhaber eines großen Autohauses plant, die Verkaufszahlen und Lebensläufe ihrer Arbeitnehmer*innen zu veröffentlichen, damit die Kund*innen sich bereits vorher informieren können, bei wem sie ihren Neuwagen kaufen möchten. Der Inhaber des Autohauses geht davon aus, dass die Veröffentlichung der Daten auf der Internetseite des Unternehmens unproblematisch möglich ist.
Tatsächlich muss er sich dabei allerdings an die Vorgaben der DSGVO halten. Bei den Verkaufszahlen und den Lebensläufen, die den verschiedenen Arbeitnehmer*innen zugeordnet werden können, handelt es sich um personenbezogene Daten.
Damit nicht jeder im Internet auf die persönlichen Daten der Arbeitnehmer*innen zugreifen kann, werden durch die DSGVO Vorgaben aufgestellt. Ansonsten würde die Privatsphäre der Arbeitnehmer*innen verletzt werden, weil die personenbezogenen Daten nicht geschützt würden.
DSGVO Datenschutz
Die DSGVO dient dem Datenschutz der einzelnen natürlichen Personen, also den Menschen, die die Angebote eines Unternehmens nutzen.
Durch den Datenschutz soll erreicht werden, dass die Privatsphäre des Einzelnen in einer zunehmend digitaler werdenden Welt vor unberechtigten Zugriffen von außen geschützt wird.
Neben offensichtlich illegalen Methoden zur Beschaffung der persönlichen Daten einzelner Menschen, etwa durch Hacking, Phishing oder Viren, gibt es andere Möglichkeiten, persönliche Daten zu nutzen, die auf den ersten Blick nicht illegal erscheinen.
Wenn sich eine Nutzerin mit einem Profil bei einem sozialen Netzwerk, wie Facebook, Twitter, TikTok oder Instagram anmeldet, stimmt sie der Analyse ihrer persönlichen Interessen und Daten zu.
Durch die Untersuchung der persönlichen Informationen kann unter anderem die Werbung personenbezogen generiert und angepasst werden.
Durch den Datenschutz, der auch in der DSGVO vorgesehen ist, sollen die persönlichen Daten des Einzelnen vor missbräuchlicher Verwendung und Datenverarbeitung geschützt werden. Dieser Datenschutz geht einher mit dem Schutz des Persönlichkeitsrechts, der Privatsphäre und dem Recht auf informationelle Selbstbestimmung. Der Datenschutz dient also dem Schutz von Grundrechten des Einzelnen.
Wäre der Datenschutz gesetzlich nicht vorgesehen, wäre es unter Umständen möglich, dass auf die Daten von Privatpersonen zugegriffen werden könnte, um herauszufinden, wann sie sich im Urlaub befinden, um in der Folge in ihre Wohnung einzubrechen. Durch die datenschutzrechtlichen Vorgaben soll gewährleistet werden, dass ein solcher Zugriff von außen auf die Daten einzelner Personen nicht möglich ist.
In der DSGVO finden sich viele verschiedene Regelungen, die alle den Zweck des Datenschutzes verfolgen. Von besonderer Bedeutung sind unter anderem:
- der Schutz personenbezogener Daten
- die Anonymisierung
- das Auskunftsrecht
- das Verarbeitungsverzeichnis
DSGVO personenbezogene Daten
Die Datenschutz-Grundverordnung bezieht sich auf den Schutz personenbezogener Daten. Was unter personenbezogenen Daten im Sinne der DSGVO zu verstehen ist, ist in Art. 4 Nr. 1 DSGVO definiert.
Personenbezogene Daten sind demnach alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu zählen etwa die Körpergröße, das Geschlecht, Gesundheitsdaten, politische Meinungen oder der Wohnort.
Unter personenbezogene Daten fallen also alle Informationen, die sich auf eine natürliche Person beziehen. Dabei reicht die Möglichkeit der Identifizierung der Person aus. Personenbezogene Daten sind damit alle Informationen über eine natürliche Person, die durch ein Unternehmen verarbeitet werden könnten.
Bei einer Online-Umfrage eines Lebensmittelherstellers sollen die Beteiligten einen Fragebogen ausfüllen, in dem sie angeben, welche Lebensmittel sie am meisten kaufen und welche am wenigsten. Bei dem Fragebogen soll nicht der Name der Beteiligten angegeben werden. Allerdings muss ein Feld mit der E-Mail-Adresse ausgefüllt werden.
Durch die Angabe der E-Mail-Adresse lassen sich die ausgefüllten Umfragen den jeweiligen Beteiligten konkret zuordnen. Daher handelt es sich um Daten, die sich auf eine natürliche Person beziehen. Bei der Verarbeitung der Online-Umfragen muss der Lebensmittelhersteller deshalb die Vorgaben der DSGVO zum Schutz der personenbezogenen Daten beachten.
Der Schutz der personenbezogenen Daten dient dem Schutz der Privatsphäre der natürlichen Person, da es sich bei den personenbezogenen Daten insbesondere um Informationen handelt, die sich persönlich auf die Person beziehen und privat sind.
Die Grundsätze für die Verarbeitung personenbezogener Daten sind in Art. 5 DSGVO geregelt. Demnach müssen personenbezogene Daten unter Wahrung der folgenden Grundsätze verarbeitet werden:
- Rechtmäßigkeit
- Verarbeitung nach Treu und Glauben
- Transparenz
- Zweckbindung
- Datenminimierung
- Richtigkeit
- Speicherbegrenzung
- Integrität
- Vertraulichkeit
- Rechenschaftspflicht
Unter welchen Voraussetzungen die Verarbeitung der personenbezogenen Daten rechtmäßig ist, ist in Art. 6 DSGVO festgehalten. Gem. Art. 6 Abs. 1 S. 1 DSGVO muss mindestens eine der nachfolgenden Bedingungen erfüllt sein.
- Vorliegen der Einwilligung zu der Verarbeitung ihrer personenbezogenen Daten durch die betroffene Person
- Erforderlichkeit der Verarbeitung für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist
- Notwendigkeit der Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt
- Erforderlichkeit der Verarbeitung, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen
- Notwendigkeit der Verarbeitung für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt
Mila arbeitet in einem großen Unternehmen, das ihre Mitarbeitenden auf ihrer Internetseite vorstellen möchte. Dazu soll ein Mitarbeiterfoto von allen Mitarbeitenden auf der Website des Unternehmens veröffentlicht werden.
Unter dem Mitarbeiterbild wird Milas Name stehen, sodass sie durch Bild und Name konkret für Außenstehende identifizierbar ist. Das Mitarbeiterfoto zählt damit zu den personenbezogenen Daten gemäß Art. 4 Nr. 1 DSGVO.
Bevor das Bild auf der Website des Unternehmens veröffentlicht wird, werden die Mitarbeitenden einzeln aufgefordert, schriftlich in die Verarbeitung einzuwilligen. Eine schriftliche Einwilligung in die Verarbeitung personenbezogener Daten ist gemäß Art. 7 Abs. 1 DSGVO möglich. Sollte Mila der Verarbeitung und Veröffentlichung der personenbezogenen Daten freiwillig zustimmen, ist eine Veröffentlichung des Mitarbeiterfotos auf der Website des Unternehmens möglich.
Wenn Du mehr über personenbezogene Daten wissen möchtest, kannst Du Dir die Erklärung Persönliche Daten ansehen.
DSGVO Anonymisierung
Im Erwägungsgrund 26 S. 5 der DSGVO ist geregelt, dass die Vorschriften der Datenschutz-Grundverordnung nicht auf anonymisierte Informationen oder Daten angewendet werden kann.
Anonymisierte Daten sind die Informationen, die sich nicht auf identifizierte oder identifizierbare natürliche Personen zurückführen und beziehen lassen.
Wenn aufgrund der Anonymisierung nicht erkennbar ist, welcher Person die Daten zuzuordnen sind, kann auch nicht in die Privatsphäre oder das Allgemeine Persönlichkeitsrecht dieser Person eingegriffen werden, wenn die Daten veröffentlicht werden. Daher muss sich bei der Verarbeitung anonymisierter Daten auch nicht an die Vorschriften der DSGVO gehalten werden.
Das Unternehmen macht eine anonyme Umfrage, um die allgemeine Zufriedenheit der Mitarbeitenden und der Kund*innen mit den Produkten des Unternehmens zu überprüfen. Bereits die Fragebögen werden anonym ausgefüllt und eingereicht. Auch bei der Veröffentlichung auf der Internetseite des Unternehmens ist nicht erkennbar, wer welche Angaben gemacht hat, sodass die Daten sich nicht einzelnen Personen zuordnen lassen.
Es handelt sich somit um anonymisierte Daten, auf die die Datenschutz-Grundverordnung nicht anwendbar ist. Das Unternehmen muss keine Einwilligung der Befragten zur Datenverarbeitung einholen.
DSGVO Auskunftsrecht
Ein Auskunftsrecht betroffener Personen ist in Art. 15 DSGVO geregelt. In Art. 15 Abs. 1 DSGVO heißt es:
Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf die folgende Informationen […].
Das Auskunftsrecht richtet sich also gegen denjenigen, der die personenbezogenen Daten veröffentlicht hat. Es erstreckt sich zunächst auf:
- das Auskunftsrecht darüber, ob personenbezogene Daten verarbeitet werden
Falls dies der Fall sein sollte, kann die betreffende Person Folgendes verlangen:
- Auskunft über diese personenbezogenen Daten
- Verarbeitungszwecke
- Kategorien personenbezogener Daten
- Empfänger
- geplante Dauer der Speicherung
- Bestehen eines Rechts auf Berichtigung oder Löschung
- Bestehen eines Beschwerderechts
Durch das Auskunftsrecht kann die betroffene Person weitere Rechte wie die Berichtigung oder Löschung der Daten geltend machen. Wird ihr keine Auskunft gewährt, muss der Verantwortliche ein Bußgeld zahlen.
Die Auskunft muss der Verantwortliche gem. Art. 12 Abs. 1 S. 1 DSGVO in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermitteln. Dabei erfolgt die Übermittlung der Informationen schriftlich oder in anderer Form, wobei sie auch mündlich verlangt werden kann, Art. 12 Abs. 1 S. 2, S. 3 DSGVO. Die Auskunft muss gem. Art. 12 Abs. 3 DSGVO unverzüglich, aber spätestens innerhalb eines Monats nach Eingang des Antrags zur Verfügung gestellt werden.
DSGVO Verarbeitungsverzeichnis
Die Verpflichtung zur Führung eines Verarbeitungsverzeichnisses ergibt sich aus Art. 30 Abs. 1 S. 1 DSGVO:
Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen.
Es wird also von den verantwortlichen Unternehmen verlangt, dass sie ein Verarbeitungsverzeichnis anlegen.
Im Verarbeitungsverzeichnis wird dokumentiert, welche personenbezogene Daten in welcher Form und zu welchem Zweck durch das Unternehmen verarbeitet werden.
Dabei dient das Verarbeitungsverzeichnis der Transparenz über die Verarbeitung personenbezogener Daten. Zudem kann das Unternehmen nachweisen, dass es die persönlichen Daten in korrekter Weise nutzt, sodass das Verarbeitungsverzeichnis der rechtlichen Absicherung des Unternehmens dient. Es kann nachgewiesen werden, dass die Vorschriften der Datenschutz-Grundverordnung eingehalten worden sind.
Ziele und Zwecke, die durch das Verarbeitungsverzeichnis verfolgt werden, sind:
- Transparenz über die Verarbeitung personenbezogener Daten
- Nachweis der korrekten Nutzung personenbezogener Daten
- rechtliche Absicherung des Unternehmens
- Offenlegung der Nutzung der personenbezogenen Daten
Der Verantwortliche muss alle Verarbeitungstätigkeiten dokumentieren. Sobald ein Unternehmen personenbezogene Daten nutzt und verarbeitet, muss diese Nutzung im Verarbeitungsverzeichnis aufgeführt werden.
Was unter einem Unternehmen zu verstehen ist, erfährst Du in Art. 4 Nr. 18 DSGVO. Ein Unternehmen ist:
[…] eine natürliche oder juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform, einschließlich Personengesellschaften oder Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen […].
Es sind also alle Personen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen, von der Verpflichtung erfasst, ein Verarbeitungsverzeichnis zu führen. Allerdings sieht die Datenschutz-Grundverordnung bezüglich der Verpflichtung zur Führung eines Verarbeitungsverzeichnisses Ausnahmen vor.
In Art. 30 Abs. 5 DSGVO ist geregelt, dass Unternehmen mit weniger als 250 Mitarbeitenden grundsätzlich kein Verarbeitungsverzeichnis führen müssen. Das gilt nicht in diesen Fällen:
- wenn die von ihnen vorgenommene Verarbeitung ein Risiko für Rechte und Freiheiten der betroffenen Person birgt
- wenn die Verarbeitung nicht nur gelegentlich erfolgt
- wenn eine Verarbeitung besonderer Datenkategorien gem. Art. 9 Abs. 1 DSGVO erfolgt
- wenn personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten verarbeitet werden
In diesen Ausnahmefällen müssen auch Unternehmen mit weniger als 250 Mitarbeitenden ein Verarbeitungsverzeichnis führen.
Das Unternehmen von Thea erhebt Daten über den Gesundheitszustand ihrer Mitarbeitenden, um feststellen zu können, wie belastend die Arbeit für sie ist. Bei dem Unternehmen sind 100 Mitarbeitende beschäftigt, sodass sich Thea fragt, ob sie ein Verarbeitungsverzeichnis führen muss.
Grundsätzlich muss jedes verantwortliche Unternehmen ein Verarbeitungsverzeichnis über die Vorgänge der Datenverarbeitung personenbezogener Daten führen, Art. 30 Abs. 1 S. 1 DSGVO. Die Pflicht zur Führung eines Verarbeitungsverzeichnisses gilt gem. Art. 30 Abs. 5 DSGVO nicht für Unternehmen, die weniger als 250 Mitarbeitende beschäftigen.
Allerdings gilt diese Ausnahme nicht, wenn Daten verarbeitet werden, die zu den besonderen Datenkategorien gem. Art. 9 Abs. 1 DSGVO zählen. Das Unternehmen von Thea erhebt personenbezogene Daten zu der Gesundheit der einzelnen Mitarbeitenden. Zu den besonderen Kategorien personenbezogener Daten gehören gem. Art. 9 Abs. 1 DSGVO auch Gesundheitsdaten. Daher ist das Unternehmen von Thea verpflichtet, die Erhebung der personenbezogenen Daten über die Gesundheit der Mitarbeitenden im Verarbeitungsverzeichnis zu dokumentieren.
Zudem muss gem. Art. 30 Abs. 2 DSGVO von den Auftragsverarbeitern ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung führen.
Ein Auftragsverarbeiter ist gem. Art. 4 Nr. 8 DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Ein Unternehmen möchte Bilder der Mitarbeitenden auf der Website veröffentlichen. Dazu beauftragt sie ein Unternehmen, das im Bereich des Webdesigns tätig ist. Dieses Unternehmen verarbeitet im Auftrag des Verantwortlichen die personenbezogenen Daten der Mitarbeitenden und ist daher ein Auftragsverarbeiter.
Welchen Inhalt das Verarbeitungsverzeichnis aufweisen muss, ist in Art. 30 Abs. 1 S. 2 DSGVO aufgeführt. Die Mindestanforderungen an den Inhalt des Verarbeitungsverzeichnisses sind, dass es folgende Angaben enthält:
- Name und Kontaktdaten des Verantwortlichen
- Zwecke der Verarbeitung
- Beschreibung der Kategorien betroffener Personen
- Beschreibung der Kategorien personenbezogener Daten
- Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt werden
- ggf. Übermittlungen von personenbezogenen Daten an ein Drittland
- Fristen für die Löschung der Datenkategorien
- allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Erhebung der Daten
Durch die Dokumentation der Nutzung der personenbezogenen Daten kann das Risiko verringert werden, dass der Verantwortliche die Rechte der betroffenen Person verletzt. Indem das Unternehmen nachweisen und genau dokumentieren muss, welche Daten es verarbeitet, kann durch die Aufsichtsbehörde überprüft werden, ob die Datennutzung den Vorschriften der DSGVO entspricht. Für diese Kontrolle ist in Art. 30 Abs. 4 DSGVO vorgesehen, dass der Verantwortliche oder der Auftragsverarbeiter das Verarbeitungsverzeichnis der Aufsichtsbehörde auf Anfrage zur Verfügung stellen.
Die Aufsichtsbehörde ist eine von einem Mitgliedstaat gem. Art. 51 DSGVO eingerichtete unabhängige staatliche Stelle, Art. 4 Nr. 21 DSGVO.
Die Aufsichtsbehörde ist ein unabhängiges Überwachungsorgan des Datenschutzes, das durch jeden Mitgliedstaat eingerichtet werden muss. Sie überprüft die Einhaltung der Datenschutzgrundsätze der DSGVO.
Das verantwortliche Unternehmen muss gegenüber der Aufsichtsbehörde mithilfe des Verarbeitungsverzeichnisses nachweisen, dass es sich an die Vorschriften der DSGVO gehalten hat. Es gehört zur generellen Pflicht des Unternehmens der Aufsichtsbehörde auf Anfrage den Inhalt des Verarbeitungsverzeichnisses zur Verfügung zu stellen.
In Deutschland gibt es mehrere datenschutzrechtliche Überwachungsbehörden, die als Aufsichtsbehörden die Einhaltung der DSGVO durch die privatwirtschaftlichen Unternehmen und in öffentlichen Bereichen überprüfen.
In Bayern gibt es den Landesdatenschutzbeauftragten, der für den Datenschutz in Behörden verantwortlich ist. Dagegen ist das Bayerische Landesamt für Datenschutz für datenschutzrechtliche Belange in der Privatwirtschaft zuständig.
DSGVO – Das Wichtigste
- DSGVO – europarechtliche Datenschutz-Grundverordnung.
- Zwecke und Bedeutung der DSGVO:
- Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten.
- Schutz des allgemeinen Persönlichkeitsrechts und der Privatsphäre.
- Förderung der Transparenz bei der Erhebung und Verarbeitung personenbezogener Daten.
- Vereinheitlichung des Umgangs mit personenbezogenen Daten in den EU-Mitgliedstaaten.
- DSGVO gilt für alle öffentlichen und nicht öffentlichen Stellen und Unternehmen.
- Unternehmen – alle natürlichen oder juristischen Personen, die eine wirtschaftliche Tätigkeit ausüben (unabhängig von der Rechtsform).
- Datenschutz – dient der Verfolgung des Ziels, dass die Privatsphäre des Einzelnen in einer zunehmend digitaler werdenden Welt vor unberechtigten Zugriffen von außen geschützt wird.
- Personenbezogene Daten – alle Informationen, die sich auf eine natürliche, identifizierte oder identifizierbare Person beziehen.
- Keine Anwendung der DSGVO bei anonymisierten Daten.
- Anonymisierte Daten sind die Informationen, die sich nicht auf identifizierte oder identifizierbare natürliche Personen beziehen lassen.
- Auskunftsrecht Art. 15 DSGVO
- Auskunftsrecht darüber, ob personenbezogene Daten verarbeitet werden.
- Auskunftsrecht darüber, zu welchem Zweck, gegenüber wem, wie lange, unter welchen Bedingungen, personenbezogene Daten verarbeitet wurden.
Verarbeitungsverzeichnisse müssen von jedem Unternehmen oder Auftragsverarbeiter geführt werden, das personenbezogene Daten verarbeitet (Art. 30 DSGVO).
- Verarbeitungsverzeichnis – Dokumentation, welche personenbezogenen Daten in welcher Form und zu welchem Zweck durch das Unternehmen verarbeitet werden.
- Dient der Kontrolle der rechtmäßigen Nutzung und Verarbeitung personenbezogener Daten.
- Verarbeitungsverzeichnis muss der Aufsichtsbehörde, die die Einhaltung der Datenschutzgrundsätze der DSGVO überprüft, auf Anfrage zur Verfügung gestellt werden.
Nachweise
- Paal, Boris P./Pauly, Daniel A. (2021). Beck’sche Kompakt-Kommentare. Datenschutz-Grundverordnung Bundesdatenschutzgesetz. Verlag C.H. Beck oHG. 3. Auflage.
- Waltermann, Raimund (2021). Arbeitsrecht. Verlag Franz Vahlen. 20. Auflage.
- Jahnel, Dietmar/Pallwein-Prettner, Angelika (2021). Datenschutzrecht. Verlag facultas. 3. Auflage.
- Walter, Axel von (2018). Datenschutz im Betrieb. Die DSGVO in der Personalarbeit. Verlag Haufe-Lexware GmbH & Co. KG.
- Junker, Abbo (2022). Grundkurs Arbeitsrecht. Verlag C.H. Beck oHG. 21. Auflage.
- Reinhardt, Jörg/Klose, Daniel (2020). Grundkurs Arbeitsrecht für die Soziale Arbeit. Verlag Ernst Reinhardt.
Schule 
Studium 
Ausbildung 
Karteikarten Erstelle und finde die besten Karteikarten.
Notizen Erstelle Notizen schneller als je zuvor.
Lernsets Alles was du brauchst an einem Ort.
Lernpläne Wöchentliche Ziele, Lern-Reminder, und mehr.
Spaced Repetition Nachhaltiger lernen.
AI powered learning Mithilfe unserer KI zum Lernerfolg
Blog 
