Häufig gestellte Fragen - HGF

Als nach dem Inkrafttreten vor zwei Jahren die Datenschutz-Grundverordnung am 25. Mai 2018 endgültig Geltung erlangte, führte dies zu einer Flut von Anfragen beim Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI). Die Antworten zu den am häufigsten gestellten Fragen (HGF) sind vorliegend zusammengestellt.

Fotolia_122645013_S.jpg

Bild Verkehr, Versorgung

Die Antworten sind nicht abschließend und können eine umfassende eigene Prüfung nicht ersetzen. Die hier wiedergegebenen Auffassungen spiegeln den aktuellen Meinungsstand des HBDI wieder und stehen unter dem Vorbehalt einer zukünftigen - möglicherweise abweichenden - Auslegung durch den Europäischen Datenschutzausschuss, der Datenschutzkonferenz von Bund und Ländern oder dem Europäischen Gerichtshof.

Themenfelder A – Z

A

Anwendungsbereich von DS-GVO, HDSIG und BDSG

Archive

Auftragsverarbeitung

Auskunftsrecht

B

Berichtigung

Bußgeld

Beschäftigtendaten

D

Datenverarbeitung

Datenschutzbeauftragte

Datenpannen

Datenschutz-Folgeabschätzung

Datenübertragbarkeit

E

Einwilligung

E-Mail-Kontakte

F

Funktionsträger bei öffentlichen Stellen

G

Geheimhaltungspflichten

Geldbuße

Gemeinsam für die Verarbeitung Verantwortliche

H

Homepage

I

Informationspflichten

Informationsfreiheit

J

Juristische Personen

K

Kommunikationsfreiheit

Kommunikationsmittel

L

Löschung von Daten

M

Marktortprinzip

Maßnahmenplan

Medienprivileg

Medienbruch

N

Newsletter

O

One Stop Shop

Ö

Öffentliche Stellen

P

Personenbezogene Daten

Presse

R

Rechte der Betroffenen

Risiko für Rechte und Freiheiten natürlicher Personen

S

Sanktionen

V

Vereine

Verzeichnis der Verarbeitungstätigkeiten

Videobeobachtung

W

Website

WWW-Seite

Werbung

Widerspruchsrecht

Z

Zertifizierung

A

Anwendungsbereich von DS-GV, HDSIG und BDSG

Wie ist das Verhältnis von DS-GVO und HDSIG zueinander?

Für hessische öffentliche Stellen gilt:

Grundsätzlich kommt der Datenschutz-Grundverordnung im Rahmen ihres Anwendungsbereichs unmittelbare Geltung zu. Öffnungsklauseln in der DS-GVO gestatten den nationalen Gesetzgebern eigenen Gestaltungsspielraum auszunutzen. Der hessische Gesetzgeber hat das u.a. im ersten und zweiten Teil des HDSIG getan.

Das HDSIG ergänzt bzw. konkretisiert insoweit die Vorschriften der DS-GVO. Beispielsweise ist die Rechtsgrundlage für eine Datenerhebung im öffentlichen Bereich im Rahmen der Aufgabenerfüllung mit Art. 6 Abs.1 lit. e DS-GVO, § 3 Abs.1 HDSIG zu zitieren. Beide Gesetzestexte sind immer nebeneinander zu lesen. Das HDSIG findet keine Anwendung, wenn die DS-GVO unmittelbar gilt.

Für nicht-öffentliche Stellen gilt:

Grundsätzlich kommt der Datenschutz-Grundverordnung im Rahmen ihres Anwendungsbereichs unmittelbare Geltung zu. Öffnungsklauseln in der DS-GVO gestatten den nationalen Gesetzgebern eigenen Gestaltungsspielraum auszunutzen. Der Bundesgesetzgeber hat das im BDSG (neu) getan. Gemäß Art. 57, 55 DS-GVO, § 13 Abs.1 HDSIG überwacht der HBDI die Einhaltung des Datenschutzes bei nicht-öffentlichen Stellen, die in Hessen tätig sind.

Welchen Anwendungsbereich hat das BDSG (neu)? Welche Auswirkungen hat dies für hessische öffentliche Stellen?

Das BDSG (neu) dient zur Umsetzung der europäischen Datenschutzvorschriften auf nationaler Ebene. So wie der hessische Gesetzgeber den Gestaltungsspielraum der Öffnungsklauseln der DS-GVO für Hessen durch das HDSIG ausgestaltet hat, hat der Bundesgesetzgeber für das Bundesgebiet dies durch die Neufassung des BDSG getan.

Auch die Vorschriften des BDSG (neu) finden keine Anwendung, soweit die DS-GVO unmittelbar gilt. Soweit sich die speziellen Regelungen des BDSG (neu) innerhalb der Öffnungsklauseln des DSGVO bewegen, sind diese vorrangig zu beachten.

Das BDSG (neu) gilt für öffentliche Stellen nur dann, wenn diese der Bundesverwaltung zuzurechnen sind. Hessische öffentliche Stellen sind an die Regelungen des Landesrechts gebunden.

Anonyme Daten

Allgemeine Hinweise

Eine ausdrückliche Begriffsdefinition enthält die DS-GVO nicht. Ein Hinweis erfolgt jedoch im Erwägungsgrund 26 der Verordnung. Demnach gelten Daten dann als anonym, wenn sie sich nicht auf eine identifizierte oder identifizierbare Person beziehen. Bei der Beurteilung, ob durch die Heranziehung weiterer Informationen eigentlich anonymisierte Daten einer Person zugeordnet werden können, ist der dafür erforderliche Zeitaufwand unter Berücksichtigung des Standes der Technik zu berücksichtigen.

Während die DS-GVO anonyme Daten nicht im Gesetz definiert, sondern nur in den Erwägungsgründen auslegt, findet sich im HDSIG in § 2 Abs. 4 eine gesetzliche Definition. Inhaltlich ist diese deckungsgleich mit dem Erwägungsgrund 26 der Verordnung.

Sollten anonyme Daten vorliegen, findet weder die DS-GVO noch das HDSIG Anwendung.

Zurück zur Übersicht

Archive

Allgemeine Hinweise

Die DS-GVO gilt grundsätzlich auch für Archive. An die Archivierung personenbezogener Daten werden erhebliche Ansprüche gestellt. Eine Ausnahme ist für die im öffentlichen Interesse erfolgte Archivierung vorgesehen. Für die öffentlichen Archive des Landes und der Kommunen kann ein solches öffentliches Interesse unterstellt werden.

Die Archivierung im öffentlichen Interesse wird als privilegierte Verarbeitungssituation angesehen. Grund dafür ist, dass auch der europäische Normgeber anerkennt, dass Aufzeichnungen von bleibendem Wert für das allgemeine öffentliche Interesse zu erhalten und aufzubereiten sind. Durch die Privilegierung in Art. 89 DS-GVO soll die damit verbunden Datenverarbeitung erleichtert werden.

Soweit das öffentliche Interesse bejaht wird, müssen die Rechte der Betroffenen durch technische und organisatorische Maßnahmen bei der Archivierung, z.B. durch Pseudonymisierung und Datenminimierung, garantiert sein.

In Art. 89 Abs. 3 DS-GVO ist darüber hinaus geregelt, dass im Unionsrecht oder im Recht der Mitgliedsstaaten die Rechte der Betroffenen eingeschränkt werden können, wenn die Schutzrechte die Archivierung voraussichtlich unmöglich machen oder ernsthaft beeinträchtigen und diese Ausnahmen von den Schutzregelungen der Verordnung zur Archivierung im öffentlichen Interesse notwendig sind. Aus diesem Grund können die Archivgesetze der Länder oder kommunale Archivsatzungen angepasst werden.

Zurück zur Übersicht

Auftragsverarbeitung

Allgemeine Hinweise

Auftragsverarbeitung bezeichnet den Vorgang, in dem eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet. Nach Maßgabe des Art. 28 Abs. 3 DS-GVO schließen Verantwortliche und Auftragsverarbeiter über die Auftragsverarbeitung einen Vertrag.

Eine nähere Information hierzu finden Sie unter: DSK Kurzpapier Nr. 13.

Wann liegt eine Auftragsverarbeitung vor und wann muss ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden?

Sofern Sie als verantwortliche Stelle Daten verwenden und die Verarbeitung – beispielsweise die Speicherung oder die Erfassung – durch einen Dritten durchführen lassen, liegt eine Verarbeitung im Auftrag vor. Wenn Sie hingegen andere Dienstleistungen Dritter in Anspruch nehmen, bei denen die Weitergabe von Daten zwar erforderlich aber nicht Inhalt der Dienstleistung selbst ist, liegt in der Regel kein Auftragsverarbeitungsverhältnis vor (z.B. handwerkliche Tätigkeiten).

Nur wenn ein Auftragsverarbeitungsverhältnis vorliegt, muss ein AVV geschlossen werden. Die notwendigen Inhalte des Vertrages sind in Art. 28 DS-GVO geregelt. Zur Form trifft Art. 28 Abs. 9 eine Regelung. Der Vertrag ist danach schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann. D.h., Verträge können auch per E-Mail geschlossen werden.

Ist für die Übertragung der Lohn- und Gehaltsabrechnung an Dritte (auch steuerberatende Berufe) ein Auftragsverarbeitungsvertrag nach Art. 28 DS-GVO erforderlich?

Grundsätzlich ist die klassische steuerberatende Tätigkeit nicht als Auftragsverarbeitung nach Art. 28 DS-GVO zu qualifizieren. Bei der Steuerberatung wird der/die Steuerberater/in in eigener Verantwortung und mit eigenständigem Entscheidungsspielraum tätig und verarbeitet nicht lediglich Daten nach klaren Vorgaben des Auftraggebers.

Anders ist dies jedoch bei der Lohnbuchhaltung bzw. Durchführung der Gehaltsabrechnung zu beurteilen. Dienstleister (wie z.B. häufig Steuerberater/innen), die diese für Arbeitgeber vornehmen, verarbeiten die Mitarbeiterdaten nach fest vorgegebenen Regeln, ohne dass ihnen dabei ein eigener Entscheidungsspielraum zukommt. Die Durchführung von Gehaltsabrechnungen ist somit als Auftragsverarbeitung nach Art. 28 DS-GVO einzuordnen.

Soweit ein/e Steuerberater/in für ein Unternehmen sowohl klassische Steuerberatung erbringt als auch die Gehaltsabrechnung vornimmt, so ist regelmäßig für letztere Dienstleistung ein Auftragsverarbeitungsvertrag abzuschließen, während ein solcher für die Verarbeitung von Daten im Rahmen der Steuerberatung nicht benötigt wird.

Grundsätzlich gilt, dass bei gemischten Leistungsangeboten jede Leistung separat zu beurteilen ist.

Ist bei der Einschaltung eines Labors durch einen Angehörigen eines Heilberufes ein Vertrag zur Auftragsverarbeitung zu schließen?

Bei der Einschaltung eines Labors durch einen Arzt handelt es sich im Regelfall nicht um eine Auftragsverarbeitung. Derartige Konstellationen werden hier unter der Kategorie „Mitbehandlung“ eingeordnet, d. h. das Labor erbringt eine eigenständige Leistung, die nur zu einem gewissen Teil durch die Vorgaben des Arztes gesteuert wird. Die Labore müssen die erbrachten Leistungen selber dokumentieren und aufbewahren, so dass der Arzt auch nicht mehr Herr der Daten ist.

Das Verfahren beim Arzt ist in der Regel so zu handhaben, dass transparent über die Zusammenarbeit mit dem jeweiligen Labor aufgeklärt wird (z. B. im Informationsflyer nach Art. 13 DS-GVO). Aus Sicht des HBDI ist es im Kontext der Mitbehandlung ausreichend, wenn der Arzt in seiner Behandlungsakte das Einverständnis des Patienten bzgl. des Einschaltens des konkreten Labors vermerkt. Eine ausdrückliche, schriftliche Einwilligung wurde seitens des Hessischen Beauftragten für den Datenschutz und die Informationsfreiheit in der Vergangenheit nicht gefordert und wird auch in Zukunft nach der DS-GVO nicht verlangt.

Eine nähere Information hierzu finden Sie im DSK Kurzpapier Nr. 10.

Zurück zur Übersicht

Auskunftsrecht -> siehe Rechte der Betroffenen

Zurück zur Übersicht

B

Berichtigung -> siehe Rechte der Betroffenen

Zurück zur Übersicht

Bußgeld -> siehe Geldbuße

Zurück zur Übersicht

Beschäftigtendaten

Bin ich verpflichtet meine Mitarbeiter, die mit personenbezogenen Daten umgehen, auf das Datengeheimnis zu verpflichten?

Eine explizite Verpflichtung hierzu enthält das Gesetz nicht mehr. Sie sind jedoch verpflichtet sicherzustellen, dass Ihnen unterstellte Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen oder Auftragsverarbeiters verarbeiten. Falls Sie als Auftragsverarbeiter tätig sind, sind Sie überdies dazu verpflichtet zu gewährleisten, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben. Es wird daher empfohlen, eine schriftliche oder elektronische Verpflichtungserklärung einzuholen.

Eine nähere Information hierzu sowie ein Muster für eine solche Verpflichtung finden Sie unter:

DSK Kurzpapier Nr. 19.

Zurück zur Übersicht

D

Datenverarbeitung

Allgemeine Hinweise

Die Datenverarbeitung ist einer der Grundbegriffe des europäischen Datenschutzrechts. Die DS-GVO soll nach dem EG 2 den Schutz personenbezogener Daten „bei der Verarbeitung“ gewährleisten. Um ein hohes Schutzniveau zu gewährleisten und das Abwehrrecht des Bürgers umfassend zu gestalten ist der Begriff weit auszulegen und wird umfassend verstanden.

Die DS-GVO definiert die Verarbeitung in Art. 4 Nr. 2 als jeden Vorgang im Zusammenhang mit personenbezogenen Daten und gibt sodann Beispiele, wobei diese Aufzählung nicht abschließend ist. Exemplarisch und auch in dieser Form in der DS-GVO in anderen Normen wiederkehrend ist das Erheben, Erfassen, Ordnen, Speichern, Verändern, Auslesen, Abfragen aber auch das Löschen als Verarbeitungsvorgang zu verstehen.

Zurück zur Übersicht

Datenschutzbeauftragte (betriebliche/behördliche)

Allgemeine Hinweise

Gemäß Art. 37 Abs. 1 i.V.m. § 5 Abs. 1 HDSIG, Art. 37 Abs. 4 DS-GVO i. V. m. § 38 BDSG (neu) haben Verantwortliche und Auftragsverarbeiter Datenschutzbeauftrage zu benennen.

Eine übersichtliche Information hierzu finden Sie unter: DSK Kurzpapier Nr. 12.


Ausführliche Informationen erhalten Sie unter: Behördliche und betriebliche Datenschutzbeauftragte nach neuem Recht (Handreichung des Hessischen Beauftragten für Datenschutz und Informationsfreiheit).

Wann müssen Datenschutzbeauftragte bestellt werden?

Datenschutzbeauftragte müssen immer dann benannt werden, wenn eine Behörde oder öffentliche Stelle Daten verarbeitet (Art. 37 Abs. 1 lit. a DS-GVO i.V.m. § 5 Abs. 1 HDSIG). Zusätzlich müssen öffentliche Stellen auch einen stellvertretenden Datenschutzbeauftragten bestellen (§ 5 Abs. 1 HDSIG).

Im nicht-öffentlichen Bereich müssen Datenschutzbeauftragte benannt werden, wenn in der Regel mindestens zehn Personen bei einem Verantwortlichen oder Auftragsverarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (Art. 37 Abs. 4 DS-GVO i. V. m. § 38 BDSG (neu).

Daneben ist die Bestellung auch erforderlich, wenn

  • die Kerntätigkeit die umfangreiche Verarbeitung besonderer Kategorien von Daten oder strafrechtlicher Verurteilungen umfasst (Art. 37 Abs. 1 lit. c DS-GVO) oder
  • die Verarbeitung einer DSFA unterliegt (Art. 37 Abs. 4 DS-GVO i. V. m. § 38 BDSG (neu), Art.35 DS-GVO) oder
  • die Kerntätigkeit die umfangreiche oder systematische Überwachung von betroffenen Personen ist (Art. 37 Abs. 1 lit. b DS-GVO) oder
  • Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden (Art. 37 Abs. 4 DS-GVO i. V. m. § 38 BDSG (neu))

Zählt ein Mitarbeiter, der nur teilweise mit personenbezogenen Daten arbeitet, in Rahmen von § 38 BDSG (neu) zu den Personen, die ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind (z.B. Handwerker, Dachdecker, Bäcker)?

§ 38 Abs. 1 BDSG (neu) ist nur dann einschlägig, wenn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Daher ist grundsätzlich davon auszugehen, dass Mitarbeiter, die zwar teilweise mit personenbezogenen Daten arbeiten, diese aber nicht ständig automatisiert verarbeiten, nicht in den Anwendungsbereich des § 38 BDSG (neu) fallen.

Dies dürfte beispielsweise für handwerkliche Berufe gelten, wenn die Mitarbeiter sich die Adresse des Kunden oder eine Telefonnummer notieren, um den Kunden im Rahmen eines Auftrags aufsuchen zu können.

Ich habe eine Kanzlei / Versicherungsmaklerbüro mit weniger als 10 Mitarbeitern. Muss ich dennoch einen Datenschutzbeauftragten benennen?

Der HBDI geht davon aus, dass auch bei Kanzleien und Versicherungsmaklerbüros, die insgesamt unter 10 Personen mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigen und bei denen keine außergewöhnlichen Umstände bezüglich des Umfangs der Datenverarbeitung hinzutreten, grundsätzlich keine Pflicht besteht einen Datenschutzbeauftragten zu benennen.

Zwar wird in diesen Fällen die Kerntätigkeit unter Art. 37 Abs. 1 lit. c DS-GVO fallen, da die Verarbeitung besonderer Kategorien von Daten oder strafrechtlicher Verurteilungen umfasst.

Nach dem EG 91 der DS-GVO soll aber „die Verarbeitung personenbezogener Daten […] nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufs oder Rechtsanwalt erfolgt.“

Bei Einzelkanzleien oder Arztpraxen kann daher davon ausgegangen werden, dass allein aufgrund des Umfanges der Datenverarbeitung grundsätzlich keine Pflicht besteht, einen Datenschutzbeauftragten zu bestellen. Der EG 91 erwähnt Versicherungsmakler nicht explizit, dennoch gilt hier der gleiche Wertungsmaßstab, wenn diese mit der Verarbeitung besonderer Kategorien von Daten befasst sind.

Die Gründe, die im Einzelfall zu dem Schluss geführt haben, dass die Kanzlei oder das Versicherungsmaklerbüro keinen Datenschutzbeauftragten zu benennen hat, sind zu dokumentieren.

Hinweis: Wenn Sie zu dem Schluss gelangen, keine/keinen Datenschutzbeauftragte/n benennen zu müssen, müssen Sie dennoch sämtliche Anforderungen, der DS-GVO, des BDSG (neu) und des HDSIG beachtet werden. Es wird daher dringend empfohlen, sich dennoch datenschutzrechtliche Fachkunde anzueignen. Dies kann durch Fortbildung oder die Einholung externen Sachverstandes geschehen. 

Können juristische Personen als Datenschutzbeauftragte benannt werden?

Unter besonderen Voraussetzungen und in engen Grenzen können auch juristische Personen als Datenschutzbeauftragte fungieren.

Verantwortliche, Auftragsverarbeiter und Betroffene dürfen durch die Benennung einer juristischen Person jedoch weder rechtlich noch tatsächlich schlechter gestellt sein, als bei der Benennung einer natürlichen Person als Datenschutzbeauftragtem. So ist z. B. in den entsprechenden Verträgen auf die Eignung und Befähigung der hinter der juristischen Person stehenden natürlichen Personen einzugehen und Verantwortlichkeiten konkret festzulegen.

Es wird empfohlen, sich mit der zuständigen Aufsichtsbehörde abzustimmen.

Bei der Meldung einer juristischen Person als Datenschutzbeauftragte beim HBDI ist auch eine konkrete, natürliche Person als Ansprechpartner innerhalb der als Datenschutzbeauftragten fungierenden juristischen Person mitzuteilen.

Müssen benannte Datenschutzbeauftragte ein Zertifikat über den Besuch einer Fortbildungsveranstaltung vorlegen können?

Verantwortliche oder Auftragsverarbeiter haben zu gewährleisten, dass Datenschutzbeauftragte Kenntnisse aufweisen, die sie zur Wahrnehmung ihrer Aufgaben befähigen. Auf welchem Weg diese Kenntnisse erworben werden, ist gesetzlich nicht vorgeschrieben. Sie können durch eigenständige Weiterbildung oder auch durch Fortbildung erworben werden.

Ein Zertifikat ist nicht zwingend erforderlich. Eine erworbene Zertifizierung entbindet Datenschutzbeauftragte nicht von der Notwendigkeit, ihr Fachwissen an das Arbeitsumfeld anzupassen. Denn die Wahrnehmung der Aufgaben von Datenschutzbeauftragten richtet sich insbesondere nach Art und Organisation des Betriebs oder der Behörde, für die die Funktion des/der Datenschutzbeauftragen wahrgenommen wird, sowie nach Umfang und Komplexität der anfallenden Datenverarbeitung.

In welchem zeitlichen Umfang haben Datenschutzbeauftragte ihre Aufgaben wahrzunehmen?

Hier kommt es immer auf den Einzelfall an. Eine konkrete Angabe von Wochen- oder Monatsarbeitsstunden ist nicht möglich.

Wie auch bei den fachlichen Anforderungen ist der zeitliche Aufwand vor allem an dem Betrieb oder der Behörde sowie dem Umfang der anfallenden Datenverarbeitung auszurichten.

Meldung von Datenschutzbeauftragen

Gemäß Art. 37 Abs. 7 DS-GVO haben verantwortliche Stellen oder Auftragsverarbeiter die Kontaktdaten der Datenschutzbeauftragten zu veröffentlichen und diese Daten der zuständigen Aufsichtsbehörde mitzuteilen.

Für die Meldung des Datenschutzbeauftragen sowie Änderungen (Änderungsmitteilung) oder Löschungen (Löschungsmitteilung) nutzen Sie bitte das elektronische Meldeformular auf der Homepage des HBDI.

Dieses finden Sie hier.

Muss eine sonst im Betrieb verantwortliche Person beim HBDI gemeldet werden, wenn keine/kein Datenschutzbeauftrage/r zu benennen ist?

Nein, die Meldepflicht des Art. 37 Abs. 7 DS-GOV greift nur dann, wenn nach den Vorgaben des Art. 37 Abs. 1 – 4 DS-GVO auch eine/ein Datenschutzbeauftragte/r zu benennen ist. Wenn keine Meldepflicht besteht, ist auch keine sonstige Person z. B. der Inhaber, Geschäftsführer oder Vorstand zu melden.

Welche Daten des Datenschutzbeauftragten sind auf einer Website zu veröffentlichen?

Es ist ein direkter Kontakt zur/zum Datenschutzbeauftragten (z.B. über eine E-Mail-Adresse, postalische Anschrift oder Telefonnummer) zu gewährleisten. Die Veröffentlichung des Namens auf der Website ist hingegen nicht zwingend erforderlich.

Zurück zur Übersicht

Datenpannen Art. 33 DS-GVO

Allgemeine Hinweise

Im Falle der Verletzung des Schutzes von personenbezogenen Daten hat die verantwortliche Stelle nach Maßgabe des Art. 33 Abs. 1 DS-GVO eine Meldung an die zuständige Aufsichtsbehörde zu machen. Auf der Homepage des HBDI können Sie hierzu ein Meldeformular abrufen.

Dieses finden Sie hier.

Für wen gilt die Meldepflicht nach Art. 33 DS-GVO?

Anders als zuvor gilt die Meldepflicht bei Datenpannen jetzt sowohl für private als auch für öffentliche Stellen.

Wann und mit welcher Frist hat die Meldung zu erfolgen?

Art. 33 Abs. 1 DS-GVO regelt nunmehr, dass eine Meldung bei der Verletzung des Schutzes aller Arten von personenbezogenen Daten zu erfolgen hat, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der Betroffenen. Die Mitteilung hat unverzüglich und möglichst binnen 72 Stunden zu erfolgen. Falls die Meldung später als 72 Stunden nach Kenntnis der Datenpanne erfolgt, ist die Verzögerung zu begründen.

Sind neben der Meldung an die Aufsichtsbehörde auch die Betroffenen zu benachrichtigen?

Nach alter Rechtslage hatte gem. § 42 a BDSG (alt) neben der Meldung auch immer die Benachrichtigung der Betroffenen zu erfolgen.

Die Benachrichtigung wird nunmehr gesondert in Art. 34 DS-GVO geregelt. Während eine Meldung nach Art. 33 DS-GVO immer erfolgen muss, wenn ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht, hat die Benachrichtigung der Betroffen nur zu erfolgen, wenn die Verletzung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

Zurück zur Übersicht

Datenschutz-Folgeabschätzung

Allgemeine Hinweise

Eine DSFA ist ein spezielles Instrument zur Beschreibung, Bewertung und Eindämmung von hohen Risiken für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten in Bezug auf Verarbeitungsvorgänge.

Gem. Art. 35 Abs. 3 DS-GVO ist verlangt, dass die zuständige Aufsichtsbehörde eine Liste veröffentlicht, für welche Verarbeitungsvorgänge eine DSFA durchgeführt werden muss.

Die Liste des HBDI finden Sie unter: Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO.

Nähere Information zur DSFA finden Sie unter: DSK Kurzpapier Nr. 5.

Ist eine Datenschutzfolgeabschätzung notwendig, wenn der betroffene Verarbeitungsvorgang nicht in der Liste des HBDI genannt ist?

Findet sich der Verarbeitungsvorgang nicht in der Liste, bedeutet das nicht, dass eine DSFA automatisch wegfällt. Vielmehr sind dann bei der Erfassung des Verarbeitungsvorgangs die Risiken des Vorgangs zu ermitteln.

Sodann ist anhand der Ermittlungsergebnisse abzuwägen, ob ein voraussichtlich hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Ist dies der Fall, dann ist eine DSFA durchzuführen. Wird festgestellt, dass der Verarbeitungsvorgang kein hohes Risiko aufweist, dann ist eine DSFA nicht zwingend erforderlich. In jedem Fall ist die Entscheidung über die Durchführung oder Nichtdurchführung der DSFA mit Angabe der maßgeblichen Gründe für den konkreten Verarbeitungsvorgang schriftlich zu dokumentieren. Die Durchführung und die Ergebnisse einer solchen Abwägung sind vom Kontext der Verarbeitung abhängig. Es empfiehlt sich eine Konkretisierung der eingesetzten Methode im Rahmen der Beschreibung in Bezug auf den jeweiligen Verarbeitungsvorgang.  

Dies wird in den meisten Fällen dazu führen, dass schon bei der Erstellung des Verzeichnisses der Verarbeitungstätigkeiten eine erste Ermittlung und Prüfung zu erfolgen hat, ob für den erfassten Vorgang eine DSFA notwendig ist, da durch den Vermerk im Verarbeitungsverzeichnis über die Gründe der Durchführung oder Nichtdurchführung der Dokumentationspflicht entsprochen wird. Daher scheint es empfehlenswert, die Dokumentation des Verzeichnisses der Verarbeitungstätigkeit mit ggf. jeweiligen Risikoabwägungen zu verbinden.

Zurück zur Übersicht

Datenübertragbarkeit -> siehe Rechte der Betroffenen

Ist die Datenübertragbarkeit auch im Gesundheitswesen zu gewährleisten?

Der Grundsatz der Datenportabilität findet auf die klassischen Behandlungsverhältnisse keine Anwendung, da die Datenerhebung im Rahmen eines Behandlungsvertrages keine Einwilligung erfordert. Die Erlaubnisnorm des Art. 9 Abs. 2 lit. h DS-GVO, auf die sich die Datenverarbeitung durch Angehörige von Gesundheits-/und Heilberufen, die auf einem Behandlungsvertrag beruht, stützt, ist in Art. 20 DS-GVO gerade nicht benannt. Die Auslegung des Wortlautes führt letztlich dazu, dass Angehörige der Heilberufe, soweit sie im Rahmen eines Behandlungsvertrages Daten verarbeiten, künftig (weiterhin) nicht verpflichtet sind, die Behandlungsdaten in einem portablen Datenformat bereitzuhalten.

Zurück zur Übersicht

E

Einwilligung

Allgemeine Hinweise

Als Einwilligung bezeichnet man die Zustimmung einer betroffenen Person in die Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere Zwecke. Sie nimmt daher für Verantwortliche den gleichen Rang ein, wie eine gesetzliche oder vertragliche Ermächtigung.

Verantwortliche haben ggf. nachzuweisen, dass tatsächlich eine Einwilligung vorliegt, sofern sie sich darauf berufen.

Eine nähere Information hierzu finden Sie in der Handreichung des Bayerischen Landesamtes für Datenschutzaufsicht.

Wann ist eine Einwilligung notwendig?

In den meisten Fällen kann die Verarbeitung personenbezogener Daten auf gesetzliche Grundlagen gestützt werden. Für eine so legitimierte Datenverarbeitung ist keine eigenständige Einwilligung notwendig. So dürfen z.B. die zur Erfüllung eines Vertrages erforderlichen Daten auch ohne eine Einwilligung des jeweiligen Vertragspartners verarbeitet werden.

Erst wenn über das gesetzlich vorgeschriebene oder vertraglich vereinbarte Maß oder den Zweck hinausgegangen wird, die Verarbeitung also von der gesetzlichen oder vertraglichen Ermächtigung abweicht, ist eine gesonderte Einwilligung notwendig.

Ist eine Einwilligung zulässig, wenn schon eine gesetzliche Grundlage für die Datenverarbeitung einschlägig ist?

Wenn eine gesetzliche Grundlage die Datenverarbeitung eindeutig legitimiert, ist eine Einwilligung weder notwendig noch vermittelt sie für verantwortliche Stellen oder für betroffene Personen ein höheres Maß an Sicherheit und Transparenz.

Häufig kann es aber schwierig sein, die gesetzliche Grundlage für die Datenverarbeitung zweifelsfrei zu bestimmen oder deren Grenzen klar zu erfassen. In diesen Fällen ist es vor allem auf Grund der Sicherheit und Transparenz sowohl für verantwortliche Stellen als auch für betroffene Personen nicht schädlich, wenn vorsorglich eine Einwilligung eingeholt wird.

Sollte sich nämlich im Nachhinein ergeben, dass die vermeintliche gesetzliche Grundlage nicht einschlägig war oder bei der Verarbeitung über die gesetzlichen Ermächtigungsgrenzen hinausgegangen wurde, ist dies durch die Einwilligung jedenfalls gedeckt.

Einwilligung eines Kindes

Wenn sich Verantwortliche auf Einwilligungen unter 16-jähriger Personen berufen, bedarf es zusätzlich auch der Einwilligung oder der Zustimmung des Trägers der elterlichen Sorge, sofern Dienste der Informationsgesellschaft, beispielsweise Internetangebote oder Smartphone-Angebote wie Apps aus App-Stores, die an unter 16-jährige Personen direkt gerichtet sind.

Besteht generell die Erforderlichkeit im Behandlungskontext eine Einwilligung des Patienten einzuholen?

Im Kontext der Behandlung besteht bei den Heilberufen, die dem § 203 StGB unterfallen, grundsätzlich eine Pflicht zur Dokumentation gem. 630 f Abs. 1 BGB. Diese Rechtspflicht zur Verarbeitung von Daten der Patienten trifft den Arzt somit schon auf Grund der gesetzlichen Regelungen zum Behandlungsvertrag.

Insofern kann die Rechtmäßigkeit der Verarbeitung nicht von einer Einwilligung des Patienten abhängen. Die einschlägige Rechtsgrundlage für die Verarbeitung von Gesundheitsdaten wird damit in den meisten Fällen Art. 9 Abs. 2 lit. h DS-GVO sein. Die DS-GVO führt damit im Grunde zu keiner Änderung der bisherigen Rechtslage.

Die ausdrückliche Einwilligung ist letztlich nur dann erforderlich, wenn Angebote für den Patienten gemacht werden, die über den Behandlungskontext hinausgehen. Dies kann z. B. ein Recall-System sein, mit dem an bestimmte Untersuchungen erinnert wird.

Ist im Falle der Einschaltung einer externen Abrechnungsstelle bei Heilbehandlungen nach wie vor eine Einwilligung des Patienten erforderlich?

Die Antwort lautet „ja“. Auch unter Geltung der DS-GVO wird im Falle der externen Abrechnung weiterhin die Einwilligung des Patienten (Art. 9 Abs. 2 lit. a DSGVO) benötigt. Eine andere Legitimationsgrundlage des Art. 9 Abs. 2 DSGVO ist nicht einschlägig.

Im Kontext des Einschaltens von externen Abrechnungsstellen ist zu beachten, dass die bisherige Rechtslage auch nach der DS-GVO fort gilt. Bei dem neuen § 203 Abs. 3 StGB handelt es sich zudem nicht um eine Rechtsgrundlage zur Datenverarbeitung, sondern lediglich um eine Offenbarungsbefugnis.

Neben der ausdrücklichen Einwilligung in die Datenweitergabe ist im Übrigen auch an der Entbindung von der ärztlichen Schweigepflicht durch den Patienten festzuhalten.

Wenn schon in der Einwilligungserklärung über den Verantwortlichen und die Verarbeitungszwecke informiert wurde (informierte Einwilligung), muss diese Information auch noch im Rahmen der Informationspflicht gem. Art. 13 DS-GVO erteilt werden?

Nein, ein solcher Fall fällt unter den Ausnahmetatbestand des Art. 13 Abs. 4 DS-GVO.

Sind Datenverarbeitungen im Bereich der öffentlichen hessischen Verwaltung generell gemäß Art. 6 lit. e DS-GVO ohne Einwilligung zulässig?

Art. 6 lit. e DS-GVO ist kein eigenständiger Erlaubnistatbestand zur Datenverarbeitung   und benötigt eine Umsetzung ins nationale Recht (EG 45). Die Umsetzung ist allgemeingesetzlich in § 3 Abs. 1 HDSIG erfolgt. Zu prüfen ist jeweils, ob es spezialgesetzliche Vorschriften gibt. Die Datenverarbeitung durch öffentliche Stellen ist damit zulässig, wenn sie der rechtmäßigen Aufgabenerfüllung dient. Einer Einwilligung bedarf es insoweit nicht.

Gibt es ein landesweit einheitliches Muster für eine Einwilligungserklärung, die den Anforderungen der Datenschutzgrundverordnung genügt?

Nein, eine Einwilligungserklärung ist je nach Einsatz und Zweck entsprechend zu formulieren.

Zurück zur Übersicht

E-Mail-Kontakte

Gilt die Datenschutzgrundverordnung auch für Outlook-Kontakte und E-Mail-Verteiler?

Ja, die DS-GVO gilt – unabhängig vom Medium – grundsätzlich für alle personenbezogenen Daten (Art 4 Nr. 1, 2 und Art. 2 Abs. 1 DS-GVO).

Gibt es eine Unterscheidung, ob E-Mail-Kontakte und Verteiler für dienstliche oder private Zwecke genutzt werden?

Für öffentliche Stellen gilt: Die private Nutzung dienstlicher Kontakte ist unzulässig. Die Abgrenzung dienstlicher und privater Zwecke ist aber oft schwierig. Die private Nutzung des dienstlichen Accounts richtet sich nach der E-Mail und Internet-Richtlinie des Landes Hessen. Insoweit ändert sich durch die DS-GVO nichts.

Zurück zur Übersicht

F

Fotos -> siehe Medienprivileg

Funktionsträger bei öffentlichen Stellen -> siehe auch öffentliche Stelle

Unterliegen personenbezogene Daten von Funktionsträgern (z. B. Bürgermeistern) den Anforderungen der DS-GVO?

Schutzwürdige persönliche Interessen eines Funktionsträgers treten hinter der Funktion als Amtsträgers zurück, soweit es um personenbezogene Daten geht, die mit dem Amt einhergehen (Person des öffentlichen Interesses; zum Beispiel Bericht über Frustkauf eines Funktionsträgers nach einer verlorenen Abstimmung). Daten aus der Privatsphäre eines Funktionsträgers unterliegen der DS-GVO/HDSIG.

Zurück zur Übersicht

G

Geheimhaltungspflichten

Gilt die DS-GVO auch für Berufsgeheimnisträger?

Die DS-GVO findet auch auf Berufsgeheimnisträger Anwendung. Demnach hat beispielsweise der Arzt oder der Anwalt gegenüber seinem Patienten oder Mandanten, von dem er Daten verarbeitet, entsprechend Art. 13 DS-GVO zu informieren.

Der Bundesgesetzgeber hat in § 29 Abs. 1 BDSG (neu) ergänzend zu den Ausnahmen des Art. 14 Abs. 5 DS-GVO aber Regelungen getroffen, die Berufsgeheimnisträger von der Informationspflicht gegenüber Dritten, deren Daten sie im Rahmen ihrer Eigenschaft als Berufsgeheimnisträger verarbeiten, entbinden. Die gleiche Ausnahme gilt auch gem. § 29 Abs. 1 BDSG (neu) für die Stelle, die personenbezogene Daten Dritter im Rahmen oder zur Aufnahme eines Mandatsverhältnisses an Berufsgeheimnisträger übermittelt.

Welche Befugnisse haben die datenschutzrechtlichen Aufsichtsbehörden gegenüber Berufsgeheimnisträgern und der Geheimhaltung verpflichteten öffentlichen Stellen?

Die Aufsichtsbefugnisse des HBDI wurden durch die Neuregelung des § 29 Abs. 3 BDSG (neu) eingeschränkt. Die Befugnisse des Art. 58 Abs. 1 e) und f) bestehen dann nicht, wenn die Inanspruchnahme der Befugnisse zu einem Verstoß gegen die Geheimhaltungspflicht des Geheimnisträgers führen würde.

Eine vollständige Einsichtnahme, beispielsweise auch in sensible Daten zur vollständigen Erfassung des Sachverhaltes, ist aber im privaten Bereich weiterhin möglich, sofern der Betroffene der Aufsichtsbehörde eine entsprechende Einwilligung erteilt hat.

Für den öffentlichen Bereich gilt die Ausnahmeregelung des BDSG (neu) aber nicht. Sofern öffentliche Stellen betroffen sind, kann nach wie vor durch die zuständige Aufsichtsbehörde umfassend Akteneinsicht genommen werden.

Zurück zur Übersicht

Geldbuße

Wird jede Zuwiderhandlung gegen datenschutzrechtliche Vorschriften mit einer Geldbuße geahndet?

Geldbußen können nach Art. 83 Abs. 2 S. 1 DS-GVO je nach den Umständen des Einzelfalls zu oder anstelle von Abhilfemaßnahmen nach Art. 58 Abs. 2 lit. a bis h und j DS-GVO verhängt werden. Meine Behörde geht jedem Verstoß gegen datenschutzrechtliche Vorschriften nach und prüft den in Rede stehenden Sachverhalt nach pflichtgemäßem Ermessen unter anderem dahingehend, ob ein Ordnungswidrigkeitenverfahren einzuleiten ist. In diesem Zusammenhang ist zu beachten, dass im Ordnungswidrigkeitenrecht das Opportunitätsprinzip gilt. Das bedeutet, dass meine Behörde - im Gegensatz zu der Staatsanwaltschaft bei der Verfolgung von Straftaten (Legalitätsprinzip) - nicht in jedem Fall zur Verfolgung und Ahndung von Zuwiderhandlungen verpflichtet ist. Hieraus folgt jedoch auch, dass bereits ein Erstverstoß gegen eine datenschutzrechtliche Bußgeldvorschrift mit einer Geldbuße geahndet werden kann.

Art. 83 Abs. 4, 5 und 6 DS-GVO sehen einen erheblichen Bußgeldrahmen vor. Wie wird die Geldbuße bemessen? Gibt es einen Bußgeldkatalog?

Unter dem Regime der DS-GVO besteht die Möglichkeit, deutlich höhere Geldbußen zu verhängen als dies bisher der Fall war. Bei Verstößen gegen Art. 83 Abs. 4 DS-GVO können Geldbußen von bis zu 10 Millionen Euro oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher der Beträge höher ist, verhängt werden. In den Fällen des Art. 83 Abs. 5 und 6 DS-GVO beträgt die Obergrenze des Bußgeldrahmens nunmehr 20 Millionen Euro oder bei Unternehmen bis zu 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher der Beträge höher ist.

Im Datenschutzrecht gibt es bisher keine Regelsätze oder Leitlinien für Geldbußen. Die konkrete Geldbuße wird daher in jedem Einzelfall individuell bemessen. Gemäß Art. 83 Abs. 1 DS-GVO müssen die Geldbußen wirksam, verhältnismäßig und abschreckend sein. Zur Bemessung werden die in Art. 83 Abs. 2 S. 2 a bis k DS-GVO genannten Kriterien herangezogen. Es ist eine Frage des jeweiligen Einzelfalles, ob und mit welchem Gewicht und in welcher Weise sich ein bestimmtes Kriterium im Rahmen der Bemessung der Geldbuße im Einzelfall auswirkt.

Werden Geldbußen auch gegen Behörden verhängt?

Art. 83 Abs. 7 DS-GVO sieht unter anderem hinsichtlich der Verhängung von Geldbußen gegen Behörden eine nationale Öffnungsklausel vor. Der deutschen Rechtsordnung ist dieser Zugriff jedoch fremd, sodass die Verhängung von Geldbußen gegen Behörden ausgeschlossen wurde, vgl. § 36 Abs. 2 HDSIG, § 43 Abs. 3 BDSG (neu).

Wer haftet für datenschutzrechtliche Zuwiderhandlungen?

Deliktstaugliche Täter können neben natürlichen Personen nunmehr auch juristische Personen oder andere Einrichtung und Stellen sein, die als Unternehmen in Erscheinung treten. Im Rahmen der Verhängung von Geldbußen gegen Unternehmen ist der Unternehmensbegriff der Art. 101 und 102 AEUV heranzuziehen. Hiernach versteht man unter einem Unternehmen jede eine wirtschaftliche Tätigkeit ausübende Einheit, unabhängig von ihrer Rechtsform und ihrer Art der Finanzierung (sog. funktionaler Unternehmensbegriff). Damit wurde unter dem Regime der DS-GVO die Bußgeldverantwortlichkeit auf die lenkenden Konzerngesellschaften ausgedehnt. Sodann bildet der gesamte Konzernumsatz den für die Berechnung der Geldbuße maßgeblichen Unternehmensumsatz. Durch diese einheitliche Betrachtungsweise soll verhindert werden, dass durch Umstrukturierungsmaßnahmen eine Umgehung der Haftung erreicht wird.

Zurück zur Übersicht

Gemeinsam für die Verarbeitung Verantwortliche

Allgemeine Hinweise

Gemäß Art. 26 Abs. 1 DS-GVO sind mehrere Stellen „gemeinsam für die Verarbeitung Verantwortliche“, wenn sie gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen.

Art. 26 DS-GVO stellt weder eine Rechtsgrundlage für eine Verarbeitung durch mehrere Verantwortliche dar, noch braucht es eine Rechtsgrundlage dafür, dass sich mehrere Verantwortliche zusammenschließen. Für jeden einzelnen der gemeinsam Verantwortlichen gelten die allg. Regeln der DS-GVO.

Abzugrenzen ist die gemeinsame Verantwortlichkeit insbesondere von der Auftragsverarbeitung und von einer Übermittlung personenbezogener Daten an einen Verantwortlichen, bei der die Beteiligten die Zwecke und Mittel der Verarbeitung nicht gemeinsam festlegen.

Eine nähere Information hierzu finden Sie unter: DSK Kurzpapier Nr. 16.

Zurück zur Übersicht

H

Homepage

Muss ein Anbieter einer Homepage, auf der kein Kontaktformular existiert und keine Cookies gesetzt werden (sog. WWW-Visitenkarte), die Nutzer nach Art. 13 DS-GVO unterrichten?

Ja, auch dann muss nach Art. 13 DS-GVO unterrichtet werden.

Die WWW-Seite ist bei einem Provider gehostet. Dieser führt i. d. R. sog. „Logfiles“, in denen die Zugriffe auf die WWW-Seiten protokolliert werden. Dabei werden auch die IP-Adressen der Nutzer erhoben und gespeichert. Da die IP-Adresse nach der Rechtsprechung des EuGH ein personenbezogenes Datum sein kann, müssen die Nutzer über diese Datenerhebung nach Art. 13 DS-GVO entsprechend unterrichtet werden. Auch auf solchen „WWW-Visitenkarten“ ohne Kontaktformular sind also Datenschutzhinweise anzubringen.

Zurück zur Übersicht

I

Informationspflichten

Allgemeine Hinweise

Nach Art. 13 DS-GVO bestehen Informationspflichten für Verantwortliche gegenüber der Person, bei der sie personenbezogenen Daten erheben. Weitere Informationspflichten bestehen nach Art. 14 DS-GVO, wenn personenbezogene Daten nicht bei der betroffenen Person erhoben wurden.

Wie werden die Informationsrechte erfüllt?

Die Informationen können auf verschiedenen Wegen erteilt werden. Gesetzlich ist in Art. 12 Abs. 1 DS-GVO geregelt, dass die Informationen präzise, transparent, verständlich und leicht zugänglich in klarer und einfacher Sprache zu verfassen sind. Die Übermittlung hat schriftlich oder in anderer, auch elektronischer Form, zu erfolgen.

Kann auf die Informationen auf einer Internetseite verwiesen werden?

Ja, ein Verweis auf die Internetseite, z. B. durch Verlinkung oder Angabe eines QR-Codes, ist zulässig. Aus Art. 12 Abs. 1 S. 2 DS-GVO folgt, dass ein Medienbruch im Bereich der Informationspflichten möglich ist. Dies kann durch einen generellen Verweis erfolgen oder auch durch Teilverweise, z. B. wenn bestimmte Informationen schriftlich mitgeteilt werden, kann auf andere, umfangreiche Informationen verwiesen oder verlinkt werden.

Davon ist nur dann eine Ausnahme zu machen, wenn offensichtlich ist, dass die betroffene Person der Verweisung nicht folgen kann, weil z. B. der Zugang zum Internet nicht besteht.

In welcher Sprache hat die Information zu erfolgen?

Für öffentliche Stellen und Behörden gilt die jeweilige Landessprache als Amtssprache. Insofern ist die Information in Deutschland auf Deutsch ausreichend.

Sofern sich der Adressatenkreis jedoch konkret bestimmen lässt, z.B. durch die Gestaltung der Homepage oder die Top-Level-Domain, ist das Vorhalten der Informationen in der jeweiligen Sprache zu empfehlen.

Wie sind Personen zu informieren, die nur für einen kurzen, begrenzten Zeitraum in einer Besucherliste (z. B. bei Führungen, Tagungen etc.) geführt werden?

Sofern die Liste analog geführt und nur für die Dauer des Besuchs verwendet wird, ist keine umfangreiche Information notwendig. Der Betroffene weiß – sofern er sich selbst in die Liste einträgt – welche Daten von wem zu welchem Zweck erfasst werden. Es greift die Ausnahme des Art. 13 Abs. 4 DS-GVO. Dennoch ist ein Hinweis auf der Liste, dass diese am Ende des Besuchs vernichtet wird, ratsam.

Anderes gilt dann, wenn Listen digital geführt werden oder für weiter Zwecke und/oder einen längeren Zeitraum verwendet werden. In einem solchen Fall greifen die Informationspflichten vollständig.

Ist eine außenstehende Person, die sich unter Angabe ihrer Daten auf elektronischem Wege (über E-Mail/Internetseite) an die Organisationseinheit wendet, nach Art. 13 DS-GVO zu informieren?

Ja, es besteht die Pflicht zur Information, wenn die E-Mail zu einem Vorgang führt. Die Information kann mit der Eingangsbestätigung oder einer Rückfrage zum Sachverhalt verbunden werden.

Wie kann ich dokumentieren, dass ich meinen Informationspflichten nachgekommen bin (Art. 5 Abs. 2 DS-GVO)? Benötige ich zum Nachweis von den Betroffenen unterschriebene Formulare? Was kann ich tun, wenn ein solches Formular nicht unterschrieben wurde?

Grundsätzlich besteht keine Pflicht, den Nachweis durch unterschriebene Formulare zu führen. Insofern bedeutet das Fehlen der Unterschrift nicht, dass der Nachweis über die Erfüllung der Informationspflicht unmöglich ist. Um der Rechenschaftspflicht des Art. 5 Abs. 2 DS-GVO zu genügen ist das Verfahren und der Prozess zu dokumentieren, nach dem typischerweise die Informationen erteilt werden.

Auch kann dokumentiert werden, wie im Einzelfall die Informationen mitgeteilt wurden, z. B. durch E-Mail-Ausgangslisten etc. Eine unterschriebene Empfangsbestätigung ist nur eine von mehreren Möglichkeiten, die Informationserteilung zu dokumentieren.

Müssen bei Nutzung von Datenbeständen, die vor dem 25. Mai 2018 erhoben wurden nach dem 25.Mai 2018 die Betroffenen gemäß Art. 13 DS-GVO informiert werden?

Art. 13 regelt die Information von Betroffenen zum Zeitpunkt der Datenerhebung. Bestandsdaten sind vorhanden, ihr Erhebungszeitpunkt ist vorbei. Die jetzige Geltung der DS-GVO stellt an sich keinen Informationsanlass dar. Somit muss – sofern die Daten (seinerzeit) ordnungsgemäß erhoben wurden – keine neue Information der Betroffenen erfolgen. Dies gilt sowohl im öffentlichen wie auch im privaten Bereich.

Ändert sich etwas an der Datenverarbeitung und/oder sollen diese Daten für einen anderen Zweck genutzt werden (Weiterverarbeitung), dann gilt Art.13 Abs. 3 DS-GVO (für öffentliche Stellen in Hessen, § 21 HDSIG). Eine Information kann erforderlich sein. Eine jeweilige Prüfung der Ausnahmetatbestände ist erforderlich.

Wann greifen die Ausnahmetatbestände des Art. 14 Abs. 5 DS-GVO?

Die Ausnahmetatbestände des Art. 14 Abs. 5 DS-GVO greifen nur, wenn der Anwendungsbereich des Art. 14 DS-GVO eröffnet ist. Eine Übertragung auf Art. 13 DS-GVO ist nicht möglich.

Welche Rechtsvorschriften umfasst der Art. 14 Abs. 5 c) DS-GVO?

Umfasst sind Vorschriften der Europäischen Union sowie nationale Gesetze der Mitgliedsstaaten. Ein Zirkelschluss auf die Vorschriften der DS-GVO ist nicht möglich.

Bei den Normen muss es sich um bereichsspezifische Regelungen handeln, die hinreichend konkret die Erlangung der Daten und die Offenlegung der Erlangung regeln. Beispiel hierfür sind etwa die §§ 8, 9 und 11 des Rundfunkbeitragsstaatsvertrags.

Gibt es ein landesweites Muster für eine Information der Betroffenen über ihre Rechte (Art. 13 und 14 DSGVO)?

Die Anfertigung eines Musters ist aufgrund der Vielzahl der möglichen Fallkonstellationen nicht möglich.

Wenn ein Bürger oder eine Bürgerin etwas von einer hessischen Behörde möchte und dazu personenbezogene Daten mitteilt, ist dann die Datenerhebung ohne weiteres zulässig?

Ja, wenn die Wahrnehmung der Aufgabe, im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, Art. 6 Abs.1 lit e und § 3 Abs.1 HDSIG.

Zurück zur Übersicht

Informationsfreiheit

Allgemeine Hinweise

Der Anspruch auf Zugang gegenüber öffentlichen Stellen betreffend amtliche Informationen ist für Hessen in §§ 85 ff. HDSIG geregelt.

Der Antrag soll bei der Stelle gestellt werden, die über die begehrten Informationen verfügt. Betrifft der Antrag personenbezogene Daten Dritter (Datenschutz) oder Betriebs- und Geschäftsgeheimnisse muss der Antrag begründet werden. Dies dient der Transparenz und Güterabwägung.

Wird der Antrag von der öffentlichen Stelle abgelehnt, kann sich der Betroffene beim Hessischen Informationsfreiheitsbeauftragten beschweren.

Viele Bereiche sind allerdings von der Informationsfreiheit ganz ausgenommen (etwa Polizeibehörden und das Landesamt für Verfassungsschutz) oder der Informationszugang ist nur eingeschränkt möglich (etwa Finanzbehörden).

Zurück zur Übersicht

J

Juristische Personen-> siehe auch Datenschutzbeauftragte

Zurück zur Übersicht

K

Kommunikationsfreiheit

Allgemeine Hinweise

Das Recht auf informationelle Selbstbestimmung ist durch drei Aspekte geprägt. Mit dem Recht auf Schutz meiner personenbezogenen Daten und dem Recht auf Informationsfreiheit, d. h. dem Anspruch auf Zugang zu amtlichen Informationen ist das Recht auf freie Kommunikation und Meinungsaustausch in Einklang zu bringen.

Die Kommunikationsfreiheit steht daher in einem Spannungsverhältnis zu den Regelungen des Datenschutzes, da für einen Austausch von Meinungen über gesellschaftliche Vorgänge auch regelmäßig personenbezogene Daten verwendet werden.

Auch unter dem neuen europäischen Datenschutzrecht wird daher regelmäßig eine Abwägung zwischen dem Abwehrrecht des Einzelnen auf Schutz seiner Daten und dem Interesse der Allgemeinheit an ungehinderter Kommunikation unter Verwendung dieser Daten zu treffen sein.

Der Bundesgerichtshof hat zuletzt eine Tendenz erkennen lassen, dass die Kommunikationsfreiheit hinter dem persönlichen Recht auf Schutz der personenbezogenen Daten zurücktritt (BGH, Urteil vom 20. Februar 2018 - VI ZR 30/17) und ist damit von seiner Position aus dem Jahr 2014 abgerückt, in der er der Kommunikationsfreiheit noch den Vorzug gegeben hat. In beiden Verfahren ging es um die Löschung von Ärzte-Profilen auf einer Online-Bewertungsplattform.

Zurück zur Übersicht

Kommunikationsmittel

Darf im Gesundheitsbereich auch weiterhin das Fax als Kommunikationsmittel eingesetzt werden?

Im Zuständigkeitsbereich des Hessischen Beauftragten für Datenschutz und Informationsfreiheit wird das Fax auch weiterhin als ein legitimes Mittel zur Fristwahrung angesehen. Gleiches gilt für die Übermittlung in eilbedürftigen Fällen. Es soll jedoch keine Lösung für die Standard-Kommunikation darstellen. Beim Faxeinsatz muss zudem darauf geachtet werden, dass das empfangende Gerät in einem Raum steht, zu dem nur ein legitimierter Personenkreis Zugang hat.

Zurück zur Übersicht

L

Löschung von Daten -> siehe Rechte der Betroffenen

Zurück zur Übersicht

M

Marktortprinzip

Allgemeine Hinweise

Eine übersichtliche Information hierzu finden Sie unter: DSK Kurzpapier Nr. 7.

Zurück zur Übersicht

Maßnahmenplan für Unternehmen

Allgemeine Hinweise

Seit dem 25. Mai 2018 ist die DS-GVO unmittelbar geltendes Recht. Dennoch sind viele Unternehmen noch nicht auf die DS-GVO und deren Auswirkungen auf die Unternehmensprozesse vorbereitet. Daher haben die unabhängigen Datenschutzbehörden schon im Juli 2017 einige Tipps zur Erstellung eines Maßnahmenplans für Unternehmen zusammengestellt.

Eine übersichtliche Information hierzu finden Sie unter: DSK Kurzpapier Nr. 8.

Zurück zur Übersicht

Medienprivileg

Allgemeine Hinweise

Der Normgeber hat in Art. 85 Abs. 1 und Abs. 2 DS-GVO geregelt, dass das Recht auf freie Meinungsäußerung und Informationsfreiheit mit dem Recht auf Datenschutz in Einklang zu bringen ist. Das in der Verfassung in Art. 5 GG garantierte Recht auf freie Meinungsäußerung steht grundsätzlich jedem zu. Ausfluss dieser Meinungsfreiheit ist auch die Freiheit der Presse und des Rundfunks. Um eine freie und umfassende Berichterstattung zu gewährleisten, müssen recherchierende Journalisten in der Lage sein, personenbezogenen Daten zu verarbeiten, ohne zuvor die Betroffenen hierüber zu informieren.

Aus diesem Grund hat jeder Mitgliedsstaat Rechtsvorschriften erlassen oder angepasst, die Ausnahmen oder Abweichungen von den Vorschriften der DS-GVO vorsehen, wenn die Verarbeitung von Daten zu journalistischen Zwecken erfolgt.

In Hessen ergeben sich die Privilegierungen aus § 10 Hessisches Pressegesetz und § 9 c des Rundfunkstaatsvertrages.

Zurück zur Übersicht

Medienbruch -> siehe auch Informationspflichten

Allgemeine Hinweise

Als Medienbruch bezeichnet man das zur Verfügung stellen von Informationen auf verschiedenen Wegen, beispielsweise durch die Versendung eines Briefs in Papierform, der dann den Verweis auf eine Internetseite erhält. Dieser Medienbruch wird häufig als verbraucherunfreundlich und daher unzulässig angesehen. Wenn sich Betroffene nicht auf einen Blick Klarheit verschaffen können, sondern eine hinreichende Information nur aus verschiedenen Quellen möglich ist, kann dies unzumutbar sein.

Auch die DS-GVO lässt diesbezüglich einen gewissen Interpretationsspielraum zu, denn eine explizite Regelung ist nicht vorhanden. Vielmehr spricht Art. 12 Abs.1 DS-GVO nur davon, alle Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form zu übermitteln. Für eine Zulässigkeit im Rahmen der DS-GVO spricht vor allem der EG 58, der eine Information auf elektronischem Weg ausdrücklich vorsieht. Auch würde die Verständlichkeit und die Präzision erheblich darunter leiden, wenn unabhängig von der Art der Kontaktaufnahme eine umfassende Information über das selbe Medium gegeben werden müsste. Dies gilt insbesondere für Anrufer, denen sodann die vollständige Datenschutzerklärung vorgelesen werden müsste. Aus praktischen Erwägungen muss hier ein Verweis auf die Homepage zulässig sein.

Mitarbeiter/Mitarbeiterinnen -> siehe auch Beschäftigtendaten

Zurück zur Übersicht

N

Newsletter

Allgemeine Hinweise

Bei der Versendung von Newslettern ist neben der datenschutzrechtlichen Komponente häufig auch das Wettbewerbsrecht zu beachten.

Wenn die Verarbeitung einer E-Mail-Adresse zu Werbezwecken erfolgt, so bedarf es einer Einwilligung, die nach den Vorschriften des UWG ausdrücklich (§ 7 Abs. 2 Nr. 3 UWG) und nach den Vorgaben der DS-GVO nachweisbar (Art. 7 Abs. 1 DS-GVO) sein muss. Als Werbung ist dabei jede Maßnahme zu betrachten, die der Förderung des Absatzes von Produkten oder Dienstleistungen dient. Der Begriff „Werbung“ wird also weit ausgelegt.

Wer bisher für seine Newsletter, beispielsweise über das sog. Double-Opt-In Verfahren, Einwilligungen eingeholt und dokumentiert hat, wird auch unter der neuen Regelung den Anforderungen genügen. Für den Fall, dass für die bisherige Newsletter-Versendung keine ausdrückliche und nachweisbare Einwilligung vorliegt, ist bei E-Mail-Werbung zu beachten, dass schon das Versenden einer „Einwilligungsaufforderung“ nur zulässig wäre, wenn hierfür zuvor die ausdrückliche und nachweisbare Einwilligung eingeholt worden wäre.

Soweit der nichtwerbliche Bereich betroffen ist, gelten für die Verarbeitung von Daten zum Zweck der Versendung eines Newsletters oder Infobriefs ausschließlich die datenschutzrechtlichen Regelungen. Wenn es sich nicht um Werbung handelt, kann sich die Verarbeitung einer E-Mail-Adresse auf eine vertragliche oder gesetzliche Grundlage stützen. Eine Einwilligung ist in solchen Fällen nicht notwendig.

Zurück zur Übersicht

O

One Stop Shop -> siehe auch Marktortprinzip

Allgemeine Hinweise

Eine übersichtliche Information hierzu finden Sie in der Handreichung des Bayerischen Landesamtes für Datenschutzaufsicht.

Zurück zur Übersicht

Ö

Öffentliche Stelle

Allgemeine Hinweise

Der Begriff der öffentlichen Stelle findet sich in der DS-GVO nicht wieder. Der Bundes- und auch der Landesgesetzgeber haben für das BDSG (neu) und für das HDSIG den Begriff der öffentlichen Stelle definiert. Denn für diese Stellen geltend über die Öffnungsklauseln in der DS-GVO die jeweiligen Bundes- und Landesgesetze.

Die Definition im HDSIG und im BDSG (neu) ist insoweit deckungsgleich. Demnach sind öffentliche Stellen des Bundes die Behörden, die Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen des Bundes, der bundesunmittelbaren Körperschaften, der Anstalten und Stiftungen des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform.

Öffentliche Stellen der Länder sind die Behörden, die Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen des Landes, der Gemeinden und Landkreise oder sonstige deren Aufsicht unterstehende juristischer Personen des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform.

Eine Ausnahme hiervon gilt dann, wenn öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen. Dann gelten sie als nichtöffentlich im Sinne der DS-GVO.

Zurück zur Übersicht

P

Personenbezogene Daten

Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die sich auf eine natürliche Person beziehen oder beziehen lassen. Das umfasst sowohl tatsächliche Merkmale, wie den Namen, die Größe, die Augenfarbe und Ähnliches, aber auch Kennnummer, wie beispielsweise eine Telefonnummer, eine Kontonummer oder auch virtuelle Daten, wie beispielsweise eine IP-Adresse. Der Gesetzgeber hat dies in Art. 4 Nr. 1 DS-GVO normiert.

Informationen über juristische Personen (z.B. Gesellschaften, Körperschaften etc.)  sind dagegen keine personenbezogenen Daten. Aber: Sofern mit einer natürlichen Person als Ansprechpartner kommuniziert wird, sind Daten, die diese konkrete Person betreffen, personenbezogen.

Was sind besondere Kategorien personenbezogene Daten?

Datenkategorien, die der Gesetzgeber als besonders schützenswert angesehen hat, wie z.B. Daten über die ethnische Herkunft, Gesundheitsdaten oder genetische Daten, hat er in Art. 9 Abs. 1 DS-GVO benannt. Für die Verarbeitung dieser Datenkategorien gelten besondere Anforderungen.

Eine übersichtliche Information hierzu finden Sie unter: DSK Kurzpapier Nr. 17 und  in der Handreichung des Bayerischen Landesamtes für Datenschutzaufsicht.

Presse ->siehe auch Medienprivileg

Zurück zur Übersicht

R

Rechte der Betroffenen

Allgemeine Hinweise

In der DS-GVO hat der Normgeber in den Art. 15 – 21 DS-GVO einen umfangreichen Katalog mit Maßnahmen festgelegt, die einer von der Verarbeitung ihrer personenbezogenen Daten betroffenen Person ein Vorgehen gegen den Verantwortlichen ermöglicht.

Auskunftsrecht

Das Recht, Auskunft darüber zu verlangen ob und wie personenbezogenen Daten verarbeitet werden regelt Art. 15 DS-GVO.

Eine übersichtliche Information hierzu finden Sie unter: DSK Kurzpapier Nr. 6.

Recht auf Berichtigung

Art. 16 regelt das Recht der betroffenen Person, unverzüglich die Berichtigung von unrichtigen und/oder die Vervollständigung unvollständiger Daten zu verlangen.

Unverzüglich bedeute „ohne schuldhaftes Zögern“, d. h. so schnell, wie es im Rahmen eines ordentlichen Geschäftsablaufes möglich ist und erwartet werden kann. Die Umsetzung des Begehrens der Betroffenen darf nicht länger als nötig hinausgezögert werden.

Recht auf Löschung („Recht auf Vergessenwerden“)

Art. 17 DS-GVO regelt das Recht der betroffenen Person, dass Daten gelöscht werden, wenn einer oder mehrere der Gründe des Art. 17 Abs. 1 DS-GVO vorliegen. Art. 17 Abs. 2 DS-GVO bestimmt, dass bei einer Veröffentlichung der Daten durch den Verantwortlichen diesen auch die Pflicht trifft, im Rahmen des technisch machbaren, auch die Tilgung von personenbezogenen Daten, soweit sie einer Öffentlichkeit zugänglich gemacht wurden, z. B. im Internet, zu veranlassen.

Eine nähere Information finden Sie unter: DSK Kurzpapier Nr. 11.

Löschfristen

Eine starre Löschfrist ist weder in der DS-GVO noch in den deutschen Umsetzungsgesetzen vorgesehen. Vielmehr ist auf die Formulierung abzustellen, dass die Löschung „unverzüglich“ zu erfolgen hat.

Unverzüglich bedeutet „ohne schuldhaftes Zögern“, d. h. so schnell, wie es im Rahmen eines ordentlichen Geschäftsablaufes möglich ist und erwartet werden kann. Die Umsetzung des Begehrens der Betroffenen darf nicht länger als nötig hinausgezögert werden.

Recht auf Einschränkung der Verarbeitung

Art. 18 DS-GVO gibt betroffenen Personen das Recht, die Einschränkung der Verarbeitung ihrer personenbezogenen Daten zu verlangen. Hierfür muss geprüft werden, ob einer oder mehrere der Gründe des Art. 18 Abs. 1 DS-GVO vorliegen.

Ist dies der Fall, ist die Verarbeitung nach Maßgabe des Art. 18 Abs. 2 DS-GVO nur noch mit Einwilligung des Betroffenen möglich, außer es handelt sich ausschließlich um die Speicherung oder die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz von anderen natürlichen oder juristischen Personen oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaates.

Recht auf Datenübertragbarkeit

Art. 19 DS-GVO ordnet an, dass der Betroffene für den Fall, dass er in die Verarbeitung eingewilligt hat oder die Daten zur Vertragsabwicklung benötigt werden und die Verarbeitung mithilfe automatisierter Verfahren erfolgt, von dem Verantwortlichen verlangen kann, dass dieser ihm oder einem anderen Verantwortlichen die Daten in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung stellt.

Widerspruchsrecht

Wurden Daten auf Grund von Art. 6 Abs. 2 lit. e) oder f) verarbeitet, steht dem Betroffenen jederzeit das Recht nach Art. 21 Abs. 1 DS-GVO zu, Widerspruch gegen die Verarbeitung einzulegen. Mit dem Widerspruch hat der Verantwortliche die Verarbeitung zu unterlassen, es sei denn, er kann zwingenden schutzwürdige Gründe für die Verarbeitung nachweisen. Welche Gründe in Betracht kommen ergibt sich aus dem Gesetz.

Häufig ist der Widerspruch im Bereich der Werbung. Eine nähere Information hierzu finden Sie unter: DSK Kurzpapier Nr. 3.

Kann ich verlangen, dass alle meine Daten gelöscht werden?

Generell hat jeder das Recht, unter bestimmten Umständen verlangen zu können, dass seine bei einer bestimmten Stelle gespeicherten Daten gelöscht werden.

Die Löschung von Daten kann jedoch nicht pauschal verlangt werden, sondern nur in solchen Fällen, in denen der Gesetzgeber dies vorgesehen hat. Insbesondere ist zu beachten, dass den Verantwortlichen in aller Regel gewisse Aufbewahrungsfristen treffen. Dies kann dazu führen, dass eine vollständige Löschung aller Daten nicht unverzüglich nach Ende eines Vertrags erfolgt, sondern erst, wenn etwaige Aufbewahrungsfristen verstrichen sind.

Zurück zur Übersicht

Risiken -> siehe auch Datenpannen

Allgemeine Hinweise

Der Begriff des Risikos ist in der DS-GVO nicht ausdrücklich definiert. Dennoch hat er in verschiedene Bereichen des Datenschutzrechts eine erhebliche Bedeutung. So z. B. bei der Sicherheit der Verarbeitung durch technische und organisatorische Maßnahmen, bei dem Umgang mit Verletzungen des Schutzes personenbezogener Daten oder bei der Abwägung der Notwendigkeit einer DSFA.

Maßgeblich ist daher, ob die Möglichkeit des Eintritts eines Ereignisses besteht, das selbst einen Schaden darstellt oder zu einem weiteren Schaden für eine oder mehrere natürliche Personen führen kann. Zentrale Begriffe sind hier die „Rechte und Freiheiten natürlicher Personen“. Ziel der DS-GVO ist es gem. Art. 1 Abs. 2 DS-GVO, die Grundrechte und Grundfreiheiten natürlicher Personen zu schützen.

Risiken i. S. d. DS-GVO werden daher immer nach zwei Dimensionen bewertet. Erstens die Schwere des Schadens und zweitens die Wahrscheinlichkeit, dass das Ereignis und die Folgeschäden eintreten. Hierzu ist auf alle denkbaren negativen Folgen einer Datenverarbeitung abzustellen.

Eine nähere Information hierzu finden Sie unter: DSK Kurzpapier Nr. 18.

Zurück zur Übersicht

S

Sanktionen

Allgemeine Hinweise

Eine übersichtliche Information hierzu finden Sie unter: DSK Kurzpapier Nr. 2.

Gibt es im Gesundheitsbereich eine Karenzzeit für die Umsetzung der DS-GVO, in der von Sanktionen abgesehen wird?

Eine förmliche Karenzzeit wird nicht gewährt. Hierfür fehlt die Rechtsgrundlage. Soweit keine Beschwerde Dritter vorliegt, ist es eine Ermessensentscheidung des Hessischen Beauftragten für Datenschutz und Informationsfreiheit, ob eine Angelegenheit aufgegriffen wird. Der Hessische Beauftragte für Datenschutz und Informationsfreiheit wird sein Initiativrecht unter Berücksichtigung etwaiger Vertrauensschutzbelange der Betroffenen ausüben.

Zurück zur Übersicht

V

Vereine

Allgemeine Hinweise

Eine übersichtliche Information hierzu finden Sie unter: Datenschutz im Verein (Handreichung des Hessischen Beauftragten für Datenschutz und Informationsfreiheit).

Zurück zur Übersicht

Verzeichnis der Verarbeitungstätigkeiten

Allgemeine Hinweise

Grundsätzlich sind Verantwortliche und Auftragsverarbeiter verpflichtet, ein schriftliches oder elektronisches Verzeichnis aller Verarbeitungstätigkeiten mit personenbezogenen Daten zu führen.

Diese Pflicht trifft nahezu alle Stellen, die personenbezogene Daten verarbeiten. Sie kann jedoch ausnahmsweise wegfallen, wenn die Stelle weniger als 250 Mitarbeiter hat und die Verarbeitung kein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, keine besonderen Datenkategorien nach Art. 9, 10 DS-GVO betroffen sind oder die Verarbeitung nur gelegentlich erfolgt. Da aber schon die regelmäßige Verarbeitung von Kunden- und/oder Beschäftigtendaten dieses letzte Kriterium entfallen lässt, greift die Ausnahme lediglich in wenigen Fällen, in denen nur ganz selten Daten verarbeitet werden.

Eine nähere Information hierzu finden Sie unter: DSK Kurzpapier Nr. 1 und  Hinweise zum Verzeichnis von Verarbeitungstätigkeiten.

Wie ist das Verzeichnis zu führen?

Das Verzeichnis muss nicht für jedermann öffentlich einsehbar geführt werden. Es ist aber vorzuhalten, da die Aufsichtsbehörden jederzeit Einsicht verlangen können. Zudem erleichtert es jeder Stelle, selbst einen Überblick über die eigenen Datenverarbeitungsprozesse zu erhalten.

Das Verzeichnis soll den Prozess der Verarbeitung dokumentieren. Hierzu sind nach Art. 30 Abs. 1 DS-GVO für Verantwortliche und nach Art. 30 Abs. 2 DS-GVO für Auftragsverarbeiter vorgegeben, welche Angaben das Verzeichnis enthalten soll.

Der HBDI hält Muster für die Führung von Verarbeitungsverzeichnissen vor. Diese finden Sie hier.

Umgang mit früheren Verfahrensverzeichnissen (Altverfahren nach HDSG)

Stellen, die bereits jetzt über ein strukturiertes Verfahrensverzeichnis oder eine strukturierte Datenschutzdokumentation zu den Verfahren verfügen, sollten mit den nach der DS-GVO nunmehr verlangten Pflichtangaben keine Probleme haben.

Es muss dennoch geprüft werden, ob die nun geforderten Angaben enthalten sind. Ansonsten spricht nichts gegen die Weiterführung bestehender Altverzeichnisse.

Zurück zur Übersicht

Videobeobachtung

Allgemeine Hinweise

Eine übersichtliche Information finden Sie unter: DSK Kurzpapier Nr. 15.

Was gilt bei der Videoüberwachung eines Privatgrundstücks?

Die Videoüberwachung eines Privatgrundstücks muss so gestaltet sein, dass weder der angrenzende öffentliche Bereich (z. B. Straßen, Gehwege) noch benachbarte Privatgrundstücke oder der gemeinsame Zugang zu diesen von den Kameras erfasst werden. Die Beobachtungsbefugnis eines Hausrechtsinhabers und/oder Grundstückseigentümers endet somit grundsätzlich an der Grundstücksgrenze.

Was gilt bei der Videoüberwachung eines Nachbargrundstücks?

Die Beobachtung eines Nachbargrundstücks ist in jedem Fall unzulässig, bei Zuwiderhandlungen kommen Ansprüche auf Schadensersatz gemäß § 823 Abs.1 BGB, sowie Schmerzensgeld gemäß § 253 Abs.1 BGB als Teil des Schadensersatzes und Beseitigungsansprüche gemäß § 1004 Abs.1 i. V. m. § 823 Abs.1 BGB in Betracht. Der Anspruch ist zivilrechtlich geltend zu machen.

Was gilt bei der Videoüberwachung von Mitarbeitern?

Eine Überwachung von Mitarbeitern in einem Betrieb ist grundsätzlich unzulässig. Die Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses ist in Artikel 88 DS-GVO i. V. m. § 26 BDSG bzw. § 23 HDSIG geregelt. Zur Aufdeckung von Straftaten dürfen personenbezogene Daten von Beschäftigten nur dann verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind. Die Einführung einer Videoüberwachung am Arbeitsplatz unterfällt zudem dem Mitbestimmungsrecht des Betriebsrats nach § 87 Abs.1 Nr. 6 BetrVG bzw. § 74 Abs. 1 Nr. 17 HPVG.

Welche Transparenzpflichten sind bei der Videoüberwachung einzuhalten? Wie hat die Hinweisbeschilderung zu erfolgen?

Der erste Hinweis auf die Videoüberwachung sollte so bereitgestellt werden, dass er wahrgenommen wird, bevor der Betroffene den überwachten Bereich betritt. Dies bietet sich bspw. an der Eingangstür an. Die Hinweisbeschilderung sollte so gestaltet sein, dass zu dem Piktogramm die Verantwortliche Stelle (z. B. Firmenlogo), die Bezeichnung des Verantwortlichen und seine Kommunikationsdaten (E-Mail / Telefon) sowie ein Verweis auf weitere Informationen (die Informationen des Blattes im Anhang) gegeben werden. Der Verweis kann als Link auf eine Homepage (ggf. mit QR-Code oder per Push-Mitteilung) erfolgen). (Siehe Anlage Hinweisschild). Das Informationsblatt (siehe Anlage Informationsblatt), inkl. der Hinweise auf die Rechte der Betroffenen, sollte zusätzlich zu der digitalen Bereitstellung auch z. B. am Empfang ausgehängt werden, damit sich der Betroffene vor Ort informieren kann. Durch die digitale Einsichtnahme in die Rechte des Betroffenen vor Betreten des videoüberwachten Bereiches (QR-Code) wäre die Information auch außerhalb etwaiger Öffnungszeiten an Wochenenden oder Feiertagen möglich.

Ein Muster für eine Hinweisbeschilderung finden Sie z.B. auf der Webseite der Landesbeauftragten für den Datenschutz in Niedersachen.

Hinweis: Die Entwürfe der Hinweisbeschilderung und des Informationsblattes stehen unter dem Vorbehalt einer zukünftigen - möglicherweise abweichenden - Auslegung des Europäischen Datenschutzausschusses.

Zurück zur Übersicht

W

Webseite -> siehe auch Homepage

WWW-Seite -> siehe auch Homepage

Werbung

Allgemeine Hinweise

Eine übersichtliche Information hierzu finden Sie unter: DSK Kurzpapier Nr. 3.

Widerspruchsrecht->siehe auch Rechte der Betroffenen

Zurück zur Übersicht

Z

Zertifizierung

Allgemeine Hinweise

Eine übersichtliche Information hierzu finden Sie unter: DSK Kurzpapier Nr. 9 und in der Handreichung des Bayerischen Landesamtes für Datenschutzaufsicht.

Zurück zur Übersicht