Personenbezogene Daten:

Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Hierbei handelt es sich um Daten, die direkt oder indirekt Rückschlüsse auf eine bestimmte Person zulassen. Beispiele für personenbezogene Daten sind Namen, Adressen, Geburtsdaten, E-Mail-Adressen, IP-Adressen und biometrische Merkmale. Der Umgang mit personenbezogenen Daten unterliegt den Datenschutzbestimmungen und erfordert entsprechende Schutzmaßnahmen.

Pseudonymisierte Daten:

Pseudonymisierte Daten sind personenbezogene Daten, bei denen der unmittelbare Bezug zu einer bestimmten Person durch den Einsatz von Identifikationsmerkmalen entfernt oder stark erschwert wurde. Hierbei werden personenbezogene Daten so verarbeitet, dass sie nicht mehr ohne zusätzliche Informationen verwendet werden können, um eine Identifizierung der betroffenen Person zu ermöglichen. Bei der Pseudonymisierung werden beispielsweise personenbezogene Daten durch einen pseudonymen Identifikator ("Kennung") ersetzt, der eine direkte Verbindung zur tatsächlichen Identität der Person nicht mehr herstellt. Pseudonymisierte Daten können verwendet werden, um bestimmte Zwecke zu erfüllen, während ein höherer Datenschutz gewährleistet wird.

Anonymisierte Daten:

Anonymisierte Daten sind Daten, bei denen sämtliche Informationen entfernt wurden, die eine Identifizierung der betroffenen Person ermöglichen. Anonymisierte Daten lassen sich nicht mehr mit einer bestimmten Person in Verbindung bringen, selbst wenn zusätzliche Informationen zur Verfügung stehen. Durch Anonymisierung wird das Risiko der Identifizierung einer Person auf ein vernachlässigbares Maß reduziert. Anonymisierte Daten sind nicht mehr durch die Datenschutzbestimmungen der DSGVO erfasst, da sie keine personenbezogenen Daten mehr darstellen.

Die Unterscheidung zwischen personenbezogenen Daten, pseudonymisierten Daten und anonymisierten Daten ist von großer Bedeutung, da sie die Verarbeitung und den Schutz von Daten in verschiedenen Kontexten regelt. Personenbezogene Daten unterliegen den strengsten Datenschutzanforderungen, während pseudonymisierte Daten den Datenschutz gewährleisten und anonymisierte Daten nicht mehr als personenbezogene Daten betrachtet werden und daher keinem Datenschutzregime mehr unterliegen.

Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union umfasst eine Reihe von Grundprinzipien, die als tragende Säulen für den Datenschutz gelten. Durch diese Grundprinzipien soll sichergestellt werden, dass Verarbeitungstätigkeiten den Schutz der Rechte und Freiheiten der betroffenen Personen gewährleisten. Im Folgenden werden die wichtigsten Grundprinzipien der DSGVO erläutert:

Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz: 

Die Verarbeitung personenbezogener Daten muss auf rechtmäßiger Grundlage erfolgen. Dies erfordert zudem eine klare und transparente Informationserteilung im Sinne der Datenschutzvorschriften und dass die Verarbeitung an die "vernünftigen Erwartungen" Betroffener anknüpft.

Zweckbindung: 

Personenbezogene Daten dürfen nur zu festgelegten, eindeutigen und legitimen Zwecken erhoben und verarbeitet werden. Die Verarbeitung der Daten darf nicht mit diesen Zwecken unvereinbar sein und muss auf das Notwendige beschränkt werden.

Datenminimierung: 

Die Verarbeitung personenbezogener Daten soll auf das erforderliche Maß beschränkt sein. Es sollten nur die Daten erhoben und verwendet werden, die für den festgelegten Zweck notwendig sind. Es gilt der Grundsatz: "So wenig wie möglich, so viel wie nötig".

Datenrichtigkeit: 

Die personenbezogenen Daten müssen sachlich richtig und gegebenenfalls auf dem neuesten Stand sein. Der Verantwortliche ist verpflichtet, angemessene Maßnahmen zu ergreifen, um sicherzustellen, dass unrichtige oder unvollständige Daten unverzüglich berichtigt oder gelöscht werden.

Speicherbegrenzung: 

Personenbezogene Daten sollten nur so lange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Die DSGVO legt fest, dass personenbezogene Daten in einer Form gespeichert werden dürfen, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke der Verarbeitung erforderlich ist.

Integrität und Vertraulichkeit: 

Der Verantwortliche ist verpflichtet, angemessene technische und organisatorische Maßnahmen zu treffen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Dies umfasst insbesondere den Schutz vor unbefugtem Zugriff, Verlust, Zerstörung oder Offenlegung der Daten.

Rechenschaftspflicht: 

Der Verantwortliche ist für die Einhaltung der datenschutzrechtlichen Bestimmungen verantwortlich und muss nachweisen können, dass die Anforderungen der DSGVO erfüllt werden. Dies beinhaltet sämtliche Anforderungen, von der Datenschutzdokumentation über die Implementierung geeigneter Datenschutzmaßnahmen bis zur Zusammenarbeit mit den Aufsichtsbehörden.

Die DSGVO definiert verschiedene Rechtsgrundlagen in Art. 6 Abs. 1, auf deren Basis personenbezogene Daten rechtmäßig verarbeitet werden können. Diese Rechtsgrundlagen sollen gewährleisten, dass die Verarbeitung im Einklang mit den Datenschutzprinzipien steht. Im Folgenden werden die wichtigsten Rechtsgrundlagen der Verarbeitung nach DSGVO erläutert:

Einwilligung: 

Die Verarbeitung personenbezogener Daten ist rechtmäßig, wenn die betroffene Person ihre Einwilligung gegeben hat und die gesetzlichen Bedingungen der Einwilligung erfüllt sind (Art. 7 DSGVO). Sie muss insbesondere freiwillig, informiert und eindeutig sein. Der Verantwortliche muss nachweisen können, dass die Einwilligung vorliegt und den Anforderungen der DSGVO entspricht.

Vertragserfüllung: 

Die Verarbeitung personenbezogener Daten kann zur Erfüllung oder Beendigung eines Vertrags mit der betroffenen Person erfolgen, so weit diese Daten erforderlich sind. Wenn die Verarbeitung zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, kann dies eine rechtmäßige Grundlage darstellen, wenn die Verarbeitung "auf Anfrage" der betroffenen Person erfolgt. Für Arbeitsverhältnisse gilt die spezielle Vorschrift des § 26 BDSG, da die DSGVO diese Regelung den Mitgliedsstaaten überlässt, vgl. Art. 88 DSGVO.

Erfüllung einer rechtlichen Verpflichtung: 

Die Verarbeitung personenbezogener Daten kann erforderlich sein, um eine rechtliche Verpflichtung zu erfüllen, der der Verantwortliche unterliegt. Dies kann beispielsweise bei steuerlichen oder arbeitsrechtlichen Vorschriften der Fall sein. Diese Verpflichtungen ergeben sich somit unmittelbar aus dem Recht der Union oder dem der Mitgliedsstaaten. Betriebs- und Kollektivvereinbarungen stellen grundsätzlich keine rechtliche Verpflichtung im Sinne der Vorschrift dar. Sie können jedoch rechtliche Verpflichtungen i. S. d. Vorschrift enthalten, sofern "normative Außenwirkung" gesetzlich angeordnet ist, vgl.  § 4 Abs. 1 TVG  und § 77 Abs. 4 Satz 1 BetrVG.

Schutz lebenswichtiger Interessen: 

Die Verarbeitung personenbezogener Daten ist rechtmäßig, wenn sie zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich ist. Dies bezieht sich auf Situationen, in denen es um den Schutz von Leben oder körperlicher Unversehrtheit geht.

Wahrnehmung öffentlicher Aufgaben: 

Die Verarbeitung personenbezogener Daten kann rechtmäßig sein, wenn sie zur Erfüllung einer Aufgabe erfolgt, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.

Berechtigte Interessen (Interessenabwägung): 

Die Verarbeitung personenbezogener Daten kann aufgrund berechtigter Interessen des Verantwortlichen oder eines Dritten erfolgen, sofern die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen. In solchen Fällen muss eine Abwägung vorgenommen werden, um sicherzustellen, dass die Verarbeitung angemessen und verhältnismäßig ist.

Es ist wichtig zu beachten, dass die Anwendung der Rechtsgrundlagen im Einzelfall sorgfältig geprüft werden muss. Verantwortliche müssen sicherstellen, dass die Verarbeitung mit allen Anforderungen der DSGVO in Einklang steht.

Das Datenschutzrecht gewährt Betroffenen umfassende Rechte, um die Kontrolle über ihre personenbezogenen Daten auszuüben und den Schutz ihrer Privatsphäre zu gewährleisten. Diese Rechte werden als "Betroffenenrechte" bezeichnet und sind wesentliche Bestandteile des Datenschutzrechts. Im Folgenden werden die wichtigsten Betroffenenrechte nach DSGVO erläutert:

Auskunftsrecht (Artikel 15): 

Die betroffene Person hat das Recht, vom Verantwortlichen eine Bestätigung darüber zu verlangen, ob personenbezogene Daten verarbeitet werden, sowie Auskunft zu diesen Daten zu erhalten. Der Verantwortliche muss einen Katalog an gesetzlichen Pflichtinformationen der betroffenen Person bereitstellen. Dazu zählen etwa der Verarbeitungszweck, die verarbeiteten Daten, etwaige Empfänger und die geplante Speicherdauer.

Recht auf Berichtigung (Artikel 16): 

Die betroffene Person hat das Recht, vom Verantwortlichen die Berichtigung unrichtiger sowie die Vervollständigung unvollständiger personenbezogener Daten zu verlangen. Wenn die Daten an Dritte übermittelt wurden, muss der Verantwortliche diese Dritten zudem über die Berichtigung informieren.

Recht auf Löschung ("Recht auf Vergessenwerden") (Artikel 17): 

Die betroffene Person hat unter bestimmten Voraussetzungen das Recht, vom Verantwortlichen die Löschung ihrer personenbezogenen Daten zu verlangen. Dies kann beispielsweise der Fall sein, wenn die Daten nicht mehr für die ursprünglichen Zwecke benötigt werden oder die Verarbeitung unrechtmäßig ist.

Recht auf Einschränkung der Verarbeitung (Artikel 18): 

Die betroffene Person kann unter bestimmten Umständen die Einschränkung der Verarbeitung ihrer personenbezogenen Daten verlangen. Dies bedeutet, dass die Daten nur noch begrenzt verarbeitet werden dürfen, beispielsweise wenn die Richtigkeit der Daten bestritten wird oder die Verarbeitung unrechtmäßig ist.

Recht auf Datenübertragbarkeit (Artikel 20): 

Die betroffene Person hat das Recht, ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese Daten einem anderen Verantwortlichen zu übermitteln. Die Person hat das Recht, die direkte Übermittlung durch den Verantwortlichen zu erwirken, sofern dies technisch möglich ist. Dieses Recht gilt nur für Daten, die aufgrund einer Einwilligung oder zur Erfüllung eines Vertrags verarbeitet werden.

Widerspruchsrecht (Artikel 21): 

Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung ihrer personenbezogenen Daten Widerspruch einzulegen. Der Verantwortliche darf die Daten nur weiterverarbeiten, wenn er zwingende berechtigte Gründe für die Verarbeitung nachweisen kann, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen.

Widerrufsrecht (Art. 7 Abs. 3):

Ein Widerrufsrecht der erteilten Einwilligung ergibt sich aus den Bedingungen der Einwilligung nach Art. 7 DSGVO. Betroffene müssen im Zusammenhang der Abgabe einer Einwilligung bereits darüber aufgeklärt werden, dass Ihnen ein Widerrufsrecht zusteht. Dieses kann jederzeit ausgeübt werden mit der Folge, dass die bis zum Zeitpunkt des Widerrufs erfolgten Verarbeitungen rechtmäßig sind. Der Widerrufs muss so leicht auszuüben sein wie die Abgabe der Erklärung selbst (z. B. über Cookie-Einstellungen).

Automatisierte Entscheidungsfindung einschl. Profiling (Artikel 22):

Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Dies gilt nicht, wenn die Entscheidung zwingend für einen Vertrag mit der betroffenen Person erforderlich ist, eine Rechtsvorschrift die Verarbeitung vorsieht oder eine EInwilligung zu der Verarbeitung besteht.

Recht auf Beschwerde bei einer Aufsichtsbehörde (Artikel 77): 

Die betroffene Person hat das Recht, eine Beschwerde bei einer Datenschutz-Aufsichtsbehörde einzureichen, wenn sie der Ansicht ist, dass die Verarbeitung ihrer personenbezogenen Daten gegen die Bestimmungen der DSGVO verstößt.

Die Betroffenenrechte nach DSGVO geben den betroffenen Personen eine starke Position, um die Kontrolle über ihre personenbezogenen Daten auszuüben und ihre Datenschutzrechte durchzusetzen. Verantwortliche sind verpflichtet, diese Rechte zu wahren und angemessene Mechanismen bereitzustellen, um sie auszuüben.

Die Informationspflichten nach der Datenschutz-Grundverordnung (DSGVO) sind rechtliche Verpflichtungen, die Unternehmen und Organisationen auferlegt werden, um betroffene Personen über die Verarbeitung ihrer personenbezogenen Daten zu informieren. Die Informationspflichten dienen dem Schutz der Privatsphäre und Transparenz im Umgang mit personenbezogenen Daten. Im Folgenden werden die wichtigsten Aspekte der Informationspflichten nach DSGVO erläutert:

Umfang der Informationen: 

Gemäß der DSGVO müssen betroffene Personen über bestimmte Informationen informiert werden, bevor ihre personenbezogenen Daten verarbeitet werden dürfen. Diese Informationen finden sich in den "Pflichtkatalogen" der Art. 13 und 14 DSGVO. Dazu gehören unter anderem die Identität des Verantwortlichen für die Datenverarbeitung, der Zweck der Datenverarbeitung, die Rechtsgrundlage, die Dauer der Datenspeicherung, die Empfänger der Daten und die Rechte betroffener Personen.

Zeitpunkt und Form der Information: 

Die Informationen müssen den betroffenen Personen zum Zeitpunkt der Erhebung ihrer personenbezogenen Daten zur Verfügung gestellt werden. Dies kann beispielsweise durch Datenschutzerklärungen, Informationsblätter oder andere geeignete Kommunikationsmittel erfolgen (kein Formzwang). Die Formulierung "zum Zeitpunkt" ist hierbei so zu verstehen, dass die Informationen, soweit es möglich und machbar ist, bereits im Vorfeld der Verarbeitung zu erteilen sind, zumal die Transparenz ein entscheidungsrelevanter Faktor sein kann. 

Verständlichkeit der Informationen: 

Die Informationen sollen in einer klaren, einfachen und verständlichen Sprache bereitgestellt werden, die für die betroffenen Personen leicht nachvollziehbar ist. Es ist wichtig, komplizierte Fachbegriffe bestenfalls zu vermeiden und die Informationen an die Zielgruppe anzupassen. Auch visuelle Darstellungen können helfen.

Transparenz und Zugänglichkeit: 

Die Informationen müssen für die betroffenen Personen leicht zugänglich sein, beispielsweise durch Veröffentlichung auf der Website des Unternehmens oder durch direkte Bereitstellung bei der Datenerhebung. Es sollte stets klar erkennbar sein, wie und wo die Informationen abgerufen werden können.

Aktualisierung der Informationen: 

Unternehmen sind verpflichtet sicherzustellen, dass die bereitgestellten Informationen auf dem akteuleln Stand sind. Falls sich wesentliche Änderungen ergeben, sollten betroffene Personen erneut darüber informiert werden.

Die Informationspflichten nach DSGVO dienen dazu, die Transparenzpflichten zu erfüllen und betroffene Personen über die Verarbeitung ihrer personenbezogenen Daten zu informieren und ihnen die Möglichkeit zu geben, ihre Rechte auszuüben.

Gemäß Art. 30 der DSGVO sind Verantwortliche und Auftragsverarbeiter verpflichtet, ein Verzeichnis der Verarbeitungstätigkeiten zu erstellen und zu führen. Dieses Verzeichnis dient als zentrales Dokument und "Sammlung", das spezifische Informationen über die Datenverarbeitungstätigkeiten eines Unternehmens oder einer Organisation enthält. Im Folgenden werden die wichtigsten Aspekte des Verzeichnisses der Verarbeitungstätigkeiten erläutert.

Zweck des Verzeichnisses: 

Das Verzeichnis der Verarbeitungstätigkeiten dient dazu, den Überblick über die Verarbeitung personenbezogener Daten innerhalb einer Organisation zu gewährleisten. Es dient Unternehmen zudem als Basis für die Prüfung von Verarbeitungstätigkeiten sowie als Nachweis gegenüber Geschäftspartnern und Behörden, um das Transparenzgebot zu erfüllen und den Nachweis der DSGVO-Konformität zu erbringen.

Inhalt des Verzeichnisses:

Das Verzeichnis muss eine Reihe von Informationen enthalten, darunter:

• Angaben zum Verantwortlichen und gegebenenfalls gemeinsam Verantwortlichen, wie Name, Kontaktdaten und Vertreter sowie die Kontaktdaten des Datenschutzbeauftragten (sofern vorhanden).
• Eine Beschreibung der beabsichtigten Zwecke, für die die personenbezogenen Daten verarbeitet werden.
• Die betroffenen Personenkategorien, deren Daten verarbeitet werden.
• Die Kategorien personenbezogener Daten, die verarbeitet werden.
• Die Kategorien von Empfängern, einschließlich etwaiger Übermittlungen an Drittländer oder internationale Orgsanisationen.
• Geplante Übermittlung  personenbezogener Daten an Drittländer oder internationale Organisationen.
• Die vorgesehenen Fristen für die Löschung oder Kriterien für die Festlegung solcher Fristen.
• Eine Beschreibung der technischen und organisatorischen Maßnahmen, die zum Schutz der personenbezogenen Daten ergriffen werden.

Aktualisierung und Zugänglichkeit:

Das Verzeichnis der Verarbeitungstätigkeiten muss aktuell gehalten werden und kann in einem schrifltichen oder elektronischen Format geführt werden. Es muss für die zuständige Datenschutz-Aufsichtsbehörde auf Anfrage verfügbar sein.

Das Verzeichnis der Verarbeitungstätigkeiten ist somit ein wichtiges Instrument für die Einhaltung der DSGVO. Die Erstellung und Pflege eines Verzeichnisses der Verarbeitungstätigkeiten ist eine wesentliche Maßnahme und Anforderung der Compliance im Datenschutz.

Die Auftragsverarbeitung ist ein Begriff, der in der Datenschutz-Grundverordnung (DSGVO) definiert ist und sich auf die Verarbeitung personenbezogener Daten "im Auftrag" eines Verantwortlichen bezieht. Im Kontext der DSGVO bezieht sich der Begriff "Auftragsverarbeitung" auf die rechtliche und tatsächliche Beziehung zwischen den Vertragsparteien.

Gemäß Artikel 28 der DSGVO müssen bestimmte vertragliche Vorkehrungen für die Auslagerung einer Verarbeitung getroffen werden. Der Verantwortliche bleibt hierbei für den Schutz der personenbezogenen Daten verantwortlich. Man spricht im Rahmen der Auftragsverarbeitung somit von der "verlängerten Werkbank" des Auftraggebers. Nachfolgend eine Übersicht wichtiger Merkmale der Auftragsverarbeitung:

Vertragliche Grundlage:

Zwischen dem Verantwortlichen und dem Auftragsverarbeiter muss ein schriftlicher Vertrag abgeschlossen werden, der bestimmte Elemente gemäß Artikel 28 der DSGVO enthält. Dieser Vertrag regelt die Verantwortlichkeiten, Pflichten und Rechte beider Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten.

Datenverarbeitung im Auftrag:

Der Auftragsverarbeiter darf die personenbezogenen Daten nur gemäß den Weisungen des Verantwortlichen verarbeiten. Der Verantwortliche behält die Kontrolle und bestimmt über die Zwecke und Mittel der Verarbeitung.

Maßnahmen der Datensicherheit:

Der Auftragsverarbeiter ist verpflichtet, angemessene technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Dies umfasst Maßnahmen zum Schutz vor unbefugtem Zugriff, Verlust, Zerstörung oder Offenlegung der Daten.

Unterauftragsverarbeiter:

Der Auftragsverarbeiter darf die Datenverarbeitung nicht ohne vorherige Genehmigung des Verantwortlichen an Dritte weitergeben. Falls der Auftragsverarbeiter Subauftragsverarbeiter einsetzen möchte, muss dies im Vertrag festgehalten werden und der Verantwortliche muss die Möglichkeit haben, Einwände gegen solche Subauftragsverarbeiter zu erheben.

Die Auftragsverarbeitung nach DSGVO zielt darauf ab, den Schutz personenbezogener Daten zu gewährleisten, wenn diese an Dritte übertragen werden, die die Daten im Auftrag und nicht für eigene Zwecke verarbeiten.

Die Datenschutz-Folgenabschätzung (abgekürzt auch DSFA genannt) ist ein wichtiger Bestandteil der DSGVO. Sie ist ein Verfahren, das dazu dient, die möglichen Auswirkungen von geplanten Datenverarbeitungsvorgängen auf den Schutz personenbezogener Daten zu bewerten. Im Folgenden werden die wichtigsten Aspekte der Datenschutz-Folgenabschätzung erläutert:

Zweck der Folgenabschätzung: 

Die Datenschutz-Folgenabschätzung soll den Verantwortlichen dabei unterstützen, die Risiken für die Rechte und Freiheiten der betroffenen Personen im Zusammenhang mit der Verarbeitung personenbezogener Daten zu identifizieren, zu bewerten und geeignete Maßnahmen zur Risikominimierung zu ergreifen. Sie dient somit der Risikobeurteilung und der Vermeidung von Datenschutzverletzungen.

Anwendungsbereich: 

Die Durchführung einer Datenschutz-Folgenabschätzung ist dann erforderlich, wenn eine geplante Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringt. Dies gilt insbesondere für Verarbeitungstätigkeiten, die auf umfangreiche automatisierte Verarbeitungstechnologien zurückgreifen, wenn neuartige Technologien verwendet werden, eine systematische und umfassende Bewertungen von persönlichen Aspekten erfolgt oder besonders sensible Datenkategorien verarbeitet werden.

Inhalt der Folgenabschätzung: 

Eine Datenschutz-Folgenabschätzung umfasst typischerweise die folgenden Elemente:

• Eine systematische und ausführliche Beschreibung der geplanten Datenverarbeitungstätigkeit.
• Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung im Hinblick auf den angestrebten Zweck. 
• Eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen, einschließlich der Wahrscheinlichkeit und des Ausmaßes möglicher Schäden.
• Eine Beschreibung der vorgesehenen Maßnahmen zur Risikominderung ("Abhilfemaßnahmen"), einschließlich Garantien, Sicherheitsvorkehrungen und anderen Schutzmechanismen.
• Eine Konsultation der zuständigen Datenschutz-Aufsichtsbehörde, wenn die Datenschutz-Folgenabschätzung ergeben hat, dass die Verarbeitung auch nach der Maßnahmenplanung ein hohes Risiko darstellt.

Beteiligung des Datenschutzbeauftragten: 

Der Datenschutzbeauftragte spielt eine wichtige Rolle bei der Durchführung der Datenschutz-Folgenabschätzung. Er unterstützt den Verantwortlichen "auf Anfrage" bei der Bewertung der Verarbeitungstätigkeit, der Identifizierung von Risiken und der Entwicklung geeigneter Maßnahmen zur Risikominderung.

Dokumentation und Überprüfung: 

Die Datenschutz-Folgenabschätzung muss dokumentiert werden, um die Einhaltung der Vorschrift nachzuweisen. Die Bewertung sollte regelmäßig überprüft und bei Änderungen der Verarbeitungstätigkeit aktualisiert werden.

Die Datenschutz-Folgenabschätzung ist ein wichtiges Instrument, um den Schutz personenbezogener Daten zu gewährleisten und sicherzustellen, dass die Risiken im Zusammenhang mit der Datenverarbeitung angemessen bewertet und minimiert werden.

Gemäß der DSGVO müssen Verantwortliche und Auftragsverarbeiter angemessene technische und organisatorische Maßnahmen (TOMs) implementieren. Diese Maßnahmen sollen sicherstellen, dass personenbezogene Daten vor unbefugter oder unrechtmäßiger Verarbeitung, Verlust, Zerstörung oder Beschädigung geschützt werden. Im Folgenden werden die wichtigsten Aspekte der technischen und organisatorischen Maßnahmen erläutert:

Technische Maßnahmen: 

Technische Maßnahmen beziehen sich auf die Sicherheitsvorkehrungen und -mechanismen, die zum Schutz personenbezogener Daten eingesetzt werden. Dazu gehören unter anderem:

• Zugangs- und Zugriffskontrollen: Regelung des Zugangs und Zugriffs auf personenbezogene Daten durch geeignete Authentifizierungsverfahren (z. B. Passwörter, Zugangskarten) und Zugriffsrechte.
• Verschlüsselung: Verwendung von Verschlüsselungstechnologien, um personenbezogene Daten vor unbefugtem Zugriff zu schützen.
• Datensicherung: Regelmäßige Sicherung und Wiederherstellung von Daten, um Datenverlust zu vermeiden.
• Integrität und Vertraulichkeit: Maßnahmen zur Gewährleistung der Integrität und Vertraulichkeit der Daten, beispielsweise durch sichere Netzwerkkommunikation und Firewalls.
• Anonymisierung und Pseudonymisierung: Umwandlung personenbezogener Daten in eine Form, bei der die Identifizierung der betroffenen Personen nicht mehr möglich ist (Anonymisierung) oder nur mit zusätzlichen Informationen (Pseudonymisierung).
• Monitoring und Überwachung: Kontinuierliche Überwachung der Datenverarbeitungssysteme, um Sicherheitsvorfälle zu erkennen und angemessen darauf zu reagieren.

Organisatorische Maßnahmen: 

Organisatorische Maßnahmen beziehen sich auf die internen Richtlinien, Verfahren und Kontrollen, die zur Gewährleistung des Datenschutzes und der Datensicherheit implementiert werden. Dazu gehören unter anderem:

• Datenschutzrichtlinien und -verfahren: Festlegung klarer Richtlinien und Verfahren zur Einhaltung des Datenschutzes und zur Umsetzung der datenschutzrechtlichen Anforderungen.
• Sensibilisierung und Schulung: Schulung der Mitarbeiterinnen und Mitarbeiter im Hinblick auf den Umgang mit personenbezogenen Daten, Datenschutzprinzipien und datenschutzrechtlichen Bestimmungen.
• Zugriffskontrolle und Autorisierung: Festlegung von Rollen, Verantwortlichkeiten und Berechtigungen für den Zugriff auf personenbezogene Daten.
• Datenschutz-Folgenabschätzung: Durchführung von Datenschutz-Folgenabschätzungen, um Risiken für die Rechte und Freiheiten der betroffenen Personen zu bewerten und geeignete Maßnahmen zu ergreifen.
• Auftragsverarbeitung: Abschluss von Verträgen mit Auftragsverarbeitern, um sicherzustellen, dass diese ebenfalls angemessene technische und organisatorische Maßnahmen zum Schutz der Daten implementieren.
• Datenschutzbeauftragter: Benennung eines Datenschutzbeauftragten, sofern dies nach DSGVO und BDSG erforderlich ist.

Die Implementierung angemessener technischer und organisatorischer Maßnahmen ist entscheidend, um den Schutz personenbezogener Daten zu gewährleisten und den Anforderungen der DSGVO gerecht zu werden. Durch die Umsetzung dieser Maßnahmen können Risiken minimiert, Datenschutzverletzungen verhindert und das Vertrauen der betroffenen Personen gestärkt werden.

Gemäß der Europäischen Datenschutzbestimmungen dürfen personenbezogene Daten nur unter bestimmten Bedingungen in Drittländer (Länder außerhalb der EU/EWR) übermittelt werden. Die Grundsätze der Datenübermittlung in Drittländer dienen dem Schutz personenbezogener Daten bei grenzüberschreitenden Transfers. Im Folgenden werden die wichtigsten Aspekte dieser Grundsätze erläutert:

Angemessenheitsbeschluss: 

Eine Übermittlung personenbezogener Daten in ein Drittland ist zulässig, wenn die Europäische Kommission festgestellt hat, dass das Drittland ein angemessenes Datenschutzniveau bietet. Ein solcher Angemessenheitsbeschluss basiert im Wesentlichen auf einer Bewertung der Datenschutzgesetze, der Rechte der betroffenen Personen und der Durchsetzbarkeit der Datenschutzbestimmungen im Drittland.

Angemessene Garantien: 

Ist kein Angemessenheitsbeschluss für das Zielland vorhanden, können personenbezogene Daten dennoch übermittelt werden, sofern angemessene Garantien zum Schutz der Daten gewährleistet sind. Solche Garantien können durch geeignete vertragliche Vereinbarungen, wie Standardvertragsklauseln, Binding Corporate Rules (BCR) oder Zertifizierungsmechanismen, erreicht werden. Diese Instrumente stellen sicher, dass das Datenschutzniveau bei der Datenübermittlung in das Drittland dem Schutzniveau innerhalb der EU entspricht.

Ausnahmen: 

Es gibt bestimmte Ausnahmen, die die Datenübermittlung in Drittländer auch ohne Angemessenheitsbeschluss oder angemessene Garantien erlauben. Dazu gehören unter anderem:

• Einwilligung der betroffenen Person: Wenn die betroffene Person ausdrücklich in die Datenübermittlung in das Drittland eingewilligt hat.
• Vertragserfüllung oder vorvertragliche Maßnahmen: Wenn die Datenübermittlung für die Erfüllung eines Vertrags mit der betroffenen Person erforderlich ist oder auf deren Anfrage hin erfolgt.
• Wichtige Gründe des öffentlichen Interesses: Wenn die Übermittlung zum Schutz lebenswichtiger Interessen oder aus Gründen eines wichtigen öffentlichen Interesses erforderlich ist.
• Rechtsansprüche: Wenn die Datenübermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

Aufsichtsbehörden und Rechtsmittel: 

Die Datenschutz-Aufsichtsbehörden überwachen die Datenübermittlung in Drittländer und können Maßnahmen ergreifen, um den Schutz der personenbezogenen Daten sicherzustellen. Betroffene Personen haben das Recht, gegen eine Datenübermittlung in Drittländer vorzugehen und geeignete Rechtsmittel einzulegen.

Die Vorschriften zur Datenübermittlung in Drittländer stellen Mechanismen sicher, mit denen die Datenschutzstandards der DSGVO auch bei der Datenübermittlung in Länder außerhalb der EU/EWR eingehalten werden.