5.6 KiB
5.6 KiB
4.4 Datenschutz (DSGVO)
DSGVO - Grundlagen
Die Datenschutz-Grundverordnung (DSGVO) ist seit dem 25. Mai 2018 EU-weit gültig.
Grundprinzipien
DSGVO - Grundsätze (Art. 5)
├── Rechtmäßigkeit, Transparenz
├── Zweckbindung
├── Datenminimierung
├── Richtigkeit
├── Speicherbegrenzung
└── Integrität und Vertraulichkeit
Anwendungsbereich
| Bereich | Geltung |
|---|---|
| EU-Bürger | Weltweit |
| EU-Unternehmen | Weltweit |
| Drittland-Unternehmen | Bei Angebot in EU |
Personenbezogene Daten
Definition
Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Kategorien
| Kategorie | Beispiele |
|---|---|
| Stammdaten | Name, Adresse, Geburtsdatum |
| Kontaktdaten | Telefon, E-Mail |
| Vertragsdaten | Kunden-Nr., Vertragsinhalt |
| Nutzungsdaten | Logfiles, Cookies |
| Gesundheitsdaten | Krankheit, Behinderung |
| Biometrische Daten | Fingerabdruck, Face ID |
| Politische Meinungen | Parteizugehörigkeit |
| Religiöse Überzeugung | Konfession |
Besondere Kategorien
Art. 9 DSGVO - Besondere personenbezogene Daten
├── Gesundheitsdaten
├── Biometrische Daten
├── Politische Meinungen
├── Religiöse Überzeugung
├── Gewerkschaftszugehörigkeit
├── Ethnische Herkunft
├── Sexualleben
└── Strafrechtliche Verurteilungen
Betroffenenrechte
Rechte der Betroffenen
| Recht | Beschreibung |
|---|---|
| Auskunft (Art. 15) | Informationen über verarbeitete Daten |
| Berichtigung (Art. 16) | Falsche Daten korrigieren |
| Löschung (Art. 17) | "Recht auf Vergessenwerden" |
| Einschränkung (Art. 18) | Verarbeitung sperren |
| Datenübertragung (Art. 20) | Daten in maschinenlesbarem Format |
| Widerspruch (Art. 21) | Widerspruch gegen Verarbeitung |
| Automatisierte Entscheidungen (Art. 22) | Keine rein automatisierten Entscheidungen |
Informationspflichten
Art. 13, 14 DSGVO - Bei Erhebung mitzuteilen
├── Verantwortlicher
├── Datenschutzbeauftragter
├── Zweck der Verarbeitung
├── Rechtsgrundlage
├── Empfänger oder Kategorien
├── Speicherdauer
├── Betroffenenrechte
└── Beschwerderecht bei Behörde
Verantwortliche
Verantwortlicher
Natürliche oder juristische Person, die über die Zwecke und Mittel der Verarbeitung entscheidet.
Auftragsverarbeitung (Art. 28)
Auftragsverarbeiter (AV)
├── Externe Dienstleister (Cloud, Hosting)
├── Weisungsgebunden
├── Auftragsverarbeitungsvertrag (AVV) erforderlich
└── Kontroll- und Überwachungspflichten
Datenschutzbeauftragter (DSB)
| Unternehmen | Pflicht |
|---|---|
| > 20 Mitarbeiter | Pflicht |
| Verarbeitung besonderer Daten | Pflicht |
| Öffentliche Stelle | Immer |
Technische und organisatorische Maßnahmen (TOM)
Mindestanforderungen
Art. 32 DSGVO - Sicherheit der Verarbeitung
├── Pseudonymisierung
├── Verschlüsselung
├── Vertraulichkeit
├── Integrität
├── Verfügbarkeit
└── Rasche Wiederherstellbarkeit
Beispiele für TOM
| Maßnahme | Beschreibung |
|---|---|
| Zutrittskontrolle | Zugang zum Serverraum |
| Zugriffskontrolle | Berechtigungskonzept |
| Weitergabekontrolle | TLS-Verschlüsselung |
| Eingabekontrolle | Protokollierung |
| Verfügbarkeitskonzept | Backup, USV |
| Trennungsgebot | Test-/Produktivumgebung |
Datenschutz-Folgenabschätzung (DSFA)
Wann erforderlich?
Art. 35 DSGVO - Pflicht zur DSFA
├── Verarbeitung besonderer Kategorien
├── Umfangreiches Profiling
├── Systematisches Monitoring
├── Neue Technologien
└── Risikoreiche Verarbeitung
Durchführung
DSFA-Schritte
1. Beschreibung der Verarbeitung
2. Bewertung der Erforderlichkeit
3. Risiken für Betroffene identifizieren
4. Maßnahmen zur Risikominimierung
5. Stellungnahme DSB
6. Dokumentation
Datenschutzverletzungen
Meldepflicht
Art. 33 DSGVO - Meldung an Behörde
├── Innerhalb von 72 Stunden
├── Beschreibung der Verletzung
├── Kategorien betroffener Daten
├── Anzahl Betroffener
├── Wahrscheinliche Folgen
└── Ergriffene Maßnahmen
Benachrichtigungspflicht
Art. 34 DSGVO - Benachrichtigung Betroffener
├── Wenn hohe Risiken für Rechte
├── Sofortige Benachrichtigung
└── In verständlicher Sprache
Bußgeld und Strafen
DSGVO-Bußgelder
Art. 83 DSGVO - Geldbußen
├── Bis zu 20 Mio. EUR oder
├── Bis zu 4% des weltweiten Jahresumsatzes
└── Je nach Schwere des Verstoßes
Bußgeld-Kategorien
| Verstoß | Maximales Bußgeld |
|---|---|
| Grundprinzipien | 10 Mio. oder 2% |
| Rechte der Betroffenen | 10 Mio. oder 2% |
| Übermittlung in Drittland | 20 Mio. oder 4% |
| Sonstige Verstöße | 20 Mio. oder 4% |
Checkliste Datenschutz
□ Verarbeitungsverzeichnis (Art. 30)
□ Datenschutzbeauftragter benannt (falls nötig)
□ Auftragsverarbeitungsverträge (Art. 28)
□ Technische Maßnahmen implementiert
□ Mitarbeiter geschult
□ Datenschutz-Folgenabschätzung (falls nötig)
□ Prozesse für Betroffenenrechte
□ Datenschutzerklärung auf Website
□ Verletzungsmanagement dokumentiert
Querverweise
Stand: 2024