DSGVO

Question 1

We muss sich an die DSGVO halten?

Answer 1

Pflichten für alle Unternehmen

Question 2

Strafen bis zu 10 Mio. € können erhoben werden bei Verstößen gegen

Answer 2

• Pflichten der Verantwortlichen und der Auftragsverarbeiter gemäß den Artikeln 8, 11, 25 bis 39, 42 und 43,
• Pflichten der Zertifizierungsstelle gemäß den Artikeln 42 und 43,
• Pflichten der Überwachungsstelle gemäß Artikel 41 Absatz 4.

Question 3

Strafen bis zu 20 Mio. € können erhoben werden bei schweren Verstößen gegen

Answer 3

• die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die
  Einwilligung, gemäß den Artikeln 5, 6, 7 und 9,
• die Rechte der betroffenen Person gemäß den Artikeln 12 bis 22,
• die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland
  oder an eine internationale Organisation gemäß den Artikeln 44 bis 49

Question 4

Wer kontrolliert die Einhaltung der Datenschutz-Grundverordnung?

Answer 4

„Die Einhaltung der Datenschutz-Grundverordnung und der nationalen Rechtsvorschriften zum Datenschutz wird in allen Mitgliedstaaten durch unabhängige
Aufsichtsbehörden überwacht und durchgesetzt.

In Deutschland sind dies die Bundesbeauftragte für den Datenschutz und die
Informationsfreiheit (BfDI) und die Aufsichtsbehörden der Bundesländer.

Die Aufsichtsbehörden verfügen über die umfangreichen Untersuchungs-, Abhilfe- und
Genehmigungsbefugnisse des Artikels 58 Datenschutz-Grundverordnung. Sie können
gegenüber dem Verantwortlichen insbesondere Verbote oder Anordnungen aussprechen
und Bußgelder verhängen. Sie beraten zudem die nationalen Parlamente und Regierungen und gehen Beschwerden betroffener Personen nach

Question 5

Welcher DSGVO Artikel schützt Privatpersonen

Answer 5

Art. 1 DS-GVO schützt auf dieser Grundlage natürliche Personen bei der Verarbeitung
personenbezogener Daten.

Question 6

Definition und Artikel Personenbezogene Daten

Answer 6

Personenbezogene Daten meint alle Informationen, die sich auf eine identifizierte oder
identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen.

Art. 4 Nr.1 DSGVO

Differenziert werden:
* Personenstammdaten
* Kommunikationsdaten
* Verbindungsdaten
* Vertragsdaten

Question 7

Definition und Artikel Gesundheitsdaten

Answer 7

Gesundheitsdaten sind personenbezogene Daten, die sich auf die körperliche oder
geistige Gesundheit einer natürlichen Person

Art. 4 Nr. 15 DSGVO

Question 8

Definition und Artikel Verarbeitung

Answer 8

Verarbeitung meint jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten
Vorgang oder jede solche Vorgangsreihe im Zusammen-hang mit personenbezogenen
Daten

Art. 4 Nr. 2 DSGVO

Question 9

Verletzung des Schutzes personenbezogener Daten ist eine Verletzung der Sicherheit

Answer 9

Art. 4 Nr. 12 DSGVO

Question 10

Definition und Artikel Verantwortlicher

Answer 10

Verantwortlicher ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der
Verarbeitung von personenbezogenen Daten entscheidet

Art. 4 Nr. 7 DSGVO

Question 11

Pflichten des Verantwortlichen:

Answer 11

• Benennung eines Datenschutzbeauftragten
• Führen von Verzeichnissen von Verarbeitungstätigkeiten
• technisch organisatorische Maßnahmen
• Auftrags(daten)verarbeitung
• Datenschutz-Folgenabschätzung
• Informationspflichten gegenüber Betroffenen (ohne Anfrage)
• Sonstige Pflichten gegenüber Betroffenen (auf Anfrage)
• Rechenschaftspflicht
• Meldepflicht

Question 12

Definition und Artikel Auftragsverarbeiter

Answer 12

Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder
andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Art. 4 Nr. 8 DSGVO

Question 13

Definition und Artikel Dritter

Answer 13

Dritter meint eine natürliche oder juristische Person, Behörde, Einrichtung oder andere
Stelle

Art. 4 Nr. 10 DSGVO

Question 14

Erfüllung eines Vertrags/Durchführung vorvertraglicher Maßnahmen

Art. 6 Abs. 1 lit. b DSGVO

Answer 14

Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen
Vertragspartei die betroffene Person ist, oder zur Durchführung
vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der
betroffenen Person erfolgen.

• Ist die zentrale Erlaubnisnorm für die Datenverarbeitung im
  Rahmen der Abwicklung von Vertragsverhältnissen mit dem
  Betroffenen.
• Es bedarf keiner zusätzlichen Einwilligung.
• Kriterium der Erforderlichkeit (essentialia negotii).

Question 15

Sonderfall Arbeitsverhältnis

§ 26 Abs. 1 S. 1 BDSG (neu)

Answer 15

Im Arbeitsverhältnis fallen umstandsbedingt
personenbezogene Daten an, für die es gesonderte Regeln im
Hinblick auf den Datenschutz gibt.

Personenbezogene Daten von Beschäftigten dürfen für Zwecke
des Beschäftigungs-verhältnisses verarbeitet werden.

Question 16

Sonderfall Arbeitsverhältnis

§ 26 Abs. 1 S. 2 BDSG (neu)

Answer 16

Zur Aufdeckung von Straftaten dürfen personenbezogene Daten
von Beschäftigten nur dann verarbeitet werden

Question 17

Sonderfall Arbeitsverhältnis

§ 26 Abs. 2 BDSG (neu)

Answer 17

Erfolgt die Verarbeitung personenbezogener Daten von
Beschäftigten auf der Grundlage einer Einwilligung

• Datenverarbeitung ist aufgrund freiwilliger Einwilligung möglich, wobei bei der
  Freiwilligkeit die Abhängigkeit und die Umstände des Einzelfalls zu
  berücksichtigen sind (trotzdem Hinweis auf Widerspruchsrecht nach Artikel 7 Abs. 3 DSGVO notwendig)
• In der Regel Schriftformerfordernis, soweit nicht wegen besonderer Umstände
  eine andere Form angemessen ist (z.B. Onlinebewerbung)

Question 18

Wahrung eines berechtigten Interesses

Art. 6 Abs. 1 lit. f DSGVO

Answer 18

Zur Wahrung der berechtigten Interessen des
Verantwortlichen oder eines Dritten erforderlich.

• Ist die zentrale Abwägungsklausel.
• Gilt ausdrücklich nicht für Behörden bei ihrer
  Aufgabenerfüllung.
• Bezieht sich auf rechtliche, wirtschaftliche oder ideelle
  Interessen.

Question 19

Wahrung eines öffentlichen Interesses

Art. 6 Abs. 1 lit. e DSGVO

Answer 19

Die Verarbeitung ist für die Wahrnehmung einer Aufgabe
erforderlich, die im öffentlichen Interesse liegt oder in
Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen
übertragen wurde.

• Bei gleichwertigen Interessen darf die Verarbeitung
  stattfinden.
• Fallgruppe der vom Betroffenen öffentlich gemachten Daten
  (z. B. über soziale Netzwerke).

Question 20

Was passiert mit Gesundheitsdaten, die im Rahmen der Pandemie erhoben und übermittelt werden?

Answer 20

„Auch wenn eine Verarbeitung von Gesundheitsdaten grundsätzlich nur restriktiv möglich ist,
können für verschiedene Maßnahmen zur Eindämmung der Corona-Pandemie oder zum Schutz
von Mitarbeiterinnen und Mitarbeitern datenschutzkonform Daten erhoben und verwendet
werden. Dabei ist der Grundsatz der Verhältnismäßigkeit und der gesetzlichen Grundlage stets
zu beachten.“

Beispielsweise können die folgenden Maßnahmen zur Eindämmung und Bekämpfung der Corona-Pandemie als
datenschutzrechtlich legitimiert betrachtet werden:

Erhebung und Verarbeitung personenbezogener Daten (einschließlich Gesundheitsdaten) von Beschäftigten durch
den Arbeitgeber oder Dienstherren, um eine Ausbreitung des Virus unter den Beschäftigten bestmöglich zu verhindern oder einzudämmen. Hierzu zählen insbesondere Informationen zu den Fällen:

• in denen eine Infektion festgestellt wurde oder Kontakt mit einer nachweislich infizierten Person
  bestanden hat.
• in denen im relevanten Zeitraum ein Aufenthalt in einem vom Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet stattgefunden hat

Die Offenlegung personenbezogener Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden
Personen zur Information von Kontaktpersonen ist demgegenüber nur rechtmäßig, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist.“

Die Berechtigung zur Verarbeitung personenbezogener ergibt sich in diesen Fällen … grundsätzlich aus Art. 6 Abs.1 Satz 1 lit. e) DSGVO, wenn die Kenntnis der Identität für die Vorsorgemaßnahmen der Kontaktpersonen
ausnahmsweise erforderlich ist.

Question 21

Erfüllung einer rechtlichen Verpflichtung

Art. 6 Abs. 1 lit. c DSGVO

Answer 21

Die Verarbeitung ist zur Erfüllung einer rechtlichen
Verpflichtung erforderlich, der der Verantwortliche unterliegt.

Question 22

Einwilligung

Art. 6 Abs. 1 lit. a DSGVO

Answer 22

Die betroffene Person hat ihre Einwilligung zu der Verarbeitung
der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben

Question 23

Rechtmäßigkeit

Art. 5 Abs. 1 lit. a DSGVO

Answer 23

• Grundsatz folgt aus Art. 8 Charta der Grundrechte der
  Europäischen Union (GRCh), danach ist jede Verarbeitung ein Eingriff in die Privatsphäre und muss gerechtfertigt sein.
• Datenverarbeitung ist nur zulässig nach Art. 6 DSGVO.
• Stellt eine Auffangfunktion dar.

Question 24

Was stellt denn im rechtlichen Sinn genau einen Auffangtatbestand dar?

Answer 24

Ein Auffangtatbestand oder auch Auffangfunktion bezeichnet im rechtlichen Sinn allgemeinere
Gesetzesvorschriften, die anwendbar sind, wenn andere, speziellere Gesetzesvorschriften nicht greifen. D. h. Auffangfunktion bedeutet, dass eine Norm gilt, wenn keine übergeordneten
Gesetze greifen.

Question 25

Verarbeitung nach Treu und Glauben Art. 5 Abs. 1 lit. a DSGVO

Answer 25

* Bedeutet einen fairen Umgang. * Grundsatz stammt aus dem Privatrecht (§ 242 BGB). * Stellt eine Auffangfunktion dar.

Question 26

Transparenz Art. 5 Abs. 1 lit. a DSGVO

Answer 26

* Nachvollziehbarkeit und Vorhersehbarkeit der Datenverarbeitung. * Information über Identität des Verantwort-lichen und die Zwecke der Verarbeitung. * Informationspflichten nach Art. 12 ff. DSGVO. * Bestandteil des Auskunftsanspruchs. * Nur bei transparenter Verarbeitung können Ansprüche auf Berichtigung und Löschung geltend gemacht werden.

Question 27

Erwägungsgrund 58: Grundsatz der Transparenz

Answer 27

Der Grundsatz der Transparenz setzt voraus, dass eine für die Öffentlichkeit oder die betroffene Person bestimmte Information präzise, leicht zugänglich und verständlich sowie in klarer und einfacher Sprache abgefasst ist und gegebenenfalls zusätzlich visuelle Elemente verwendet werden. Diese Information könnte in elektronischer Form bereitgestellt werden, beispielsweise auf einer Website, wenn sie für die Öffentlichkeit bestimmt ist.

Question 28

Zweckbindung Art. 5 Abs. 1 lit. b DSGVO

Answer 28

Personenbezogene Daten müssen für fest-gelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; … („Zweckbindung“). * Die Zweckbindung legitimiert die Verarbeitung. * Der Zweck muss festgelegt, eindeutig und legitim sein. * Die Zweckbindung muss sichergestellt werden. * Es können mehrere Zwecke festgelegt werden. * Der Zweck kann geändert werden; der Sekundärzweck muss mit dem Primärzweck vereinbar sein (Art. 6 Abs. 4). * Eine neue Einwilligung oder ein neuer Rechtmäßigkeitsgrund sind nur erforderlich, wenn der Zweck mit dem ursprünglichen nicht vereinbar ist.

Question 29

Datenminimierung Art. 5 Abs. 1 lit. c DSGVO

Answer 29

Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“). * Die Datenverarbeitung muss dem Zweck angemessen sein (Erforderlichkeit). * Die Daten müssen erheblich sein. * Die Daten sollen auf das notwendige Maß beschränkt werden. * Es können mehrere Zwecke festgelegt werden. * Aus dem Grundsatz folgt das Recht auf Einschränkung der Verarbeitung.

Question 30

Richtigkeit Art. 5 Abs. 1 lit. d DSGVO

Answer 30

Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein * Nur richtige Daten können für die Rekonstruktion eines Sachverhaltes oder einer Situation herangezogen werden. * Aus dem Grundsatz folgt das Recht auf Berichtigung und Löschung.

Question 31

Speicherbegrenzung Art. 5 Abs. 1 lit. e DSGVO

Answer 31

Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; … („Speicherbegrenzung”) * Die Speicherung ist rechtens, so lange dies für den Zweck erforderlich ist. * Nach der Erreichung des Zwecks dürfen Daten nur noch in geringem Umfang gespeichert werden. * Zulässig für Archivzwecke, wissenschaftliche Forschungszwecke oder statistische Zwecke.

Question 32

Integrität und Vertraulichkeit Art. 5 Abs. 1 lit. f DSGVO

Answer 32

Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet. * Personenbezogene Daten sollen vor geplanten Zugriffen und unbeabsichtigten Beeinträchtigungen geschützt werden. * Querverbindung zur Sicherheit der Verarbeitung und den vom Verantwortlichen zu treffenden technisch und organisatorischen Maßnahmen.

Question 33

Räumlicher und sachlicher Anwendungsbereich Art. 2 Abs. 1 DSGVO

Answer 33

Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Question 34

Benennung eines Datenschutzbeauftragten Art. 37 Abs. 1 DSGVO

Answer 34

Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutz-beauftragten, wenn a) die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln, b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

Question 35

Aufgaben des Datenschutzbeauftragten Art. 39 Abs. 1 DSGVO

Answer 35

Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben: a) Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten. b) Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten. c) Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35. d) Zusammenarbeit mit der Aufsichtsbehörde. e) Tätigkeit als Anlaufstelle für die Aufsichts-behörde in mit der Verarbeitung zusammen-hängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen.

Question 36

Stellung des Datenschutzbeauftragten im Unternehmen Art. 38 Abs. 1 DSGVO

Answer 36

Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammen-hängenden Fragen eingebunden wird.

Question 37

Stellung des Datenschutzbeauftragten im Unternehmen Art. 38 Abs. 2 DSGVO

Answer 37

Der Verantwortliche und der Auftragsverarbeiter unterstützen den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben gemäß Artikel 39,

Question 38

Stellung des Datenschutzbeauftragten im Unternehmen Art. 38 Abs. 3 DSGVO

Answer 38

Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält

Question 39

Stellung des Datenschutzbeauftragten im Unternehmen Art. 38 Abs. 4 DSGVO

Answer 39

Betroffene Personen können den Datenschutz-beauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß dieser Verordnung im Zusammenhang stehenden Fragen zu Rate ziehen.

Question 40

Stellung des Datenschutzbeauftragten im Unternehmen Art. 38 Abs. 5 DSGVO

Answer 40

Der Datenschutzbeauftragte ist nach dem Recht der Union oder der Mitgliedstaaten bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden.

Question 41

Stellung des Datenschutzbeauftragten im Unternehmen Art. 38 Abs. 6 DSGVO

Answer 41

Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.

Question 42

Wenn kein Datenschutzbeauftragter bestellt wurde, entfallen dann Verpflichtungen für das Unternehmen?

Answer 42

„Die für das Unternehmen Verantwortlichen sind voll und ganz an die Einhaltung der mit dem Datenschutz verbundenen Gesetze gebunden. Jedes Unternehmen unterliegt somit den gleichen Anforderungen. Ist kein Datenschutzbeauftragte*r bestellt, fehlt dem Unternehmen ggf. dessen Expertenrat.“

Question 43

Verzeichnis aller Verarbeitungstätigkeiten Art. 30 Abs. 1 DSGVO

Answer 43

Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen

Question 44

Technisch Organisatorische Maßnahmen Art. 32 Abs. 1 DSGVO

Answer 44

treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Question 45

Auftragsverarbeiter Art. 30 Abs. 2 DSGVO

Answer 45

Jeder Auftragsverarbeiter und gegebenenfalls sein Vertreter führen ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung, die Folgendes enthält: Auftragsverarbeitung ergibt sich z. B. bei folgenden in Anspruch genommenen Dienstleistungen: * Call Center * Marktforschungsinstitute * Letter-Shops / Mailing * IT-Support * XaaS

Question 46

Datenschutz-Folgenabschätzung Art. 35 DSGVO

Answer 46

Die Datenschutz-Folgenabschätzung ist eine strukturierte Risikoanalyse zur Vorabbewertung der möglichen Konsequenzen der Verarbeitung personenbezogener Daten.

Question 47

Datenschutz-Folgenabschätzung Art. 35 Abs. 1 DSGVO

Answer 47

Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge

Question 48

Datenschutz-Folgenabschätzung Art. 35 Abs. 3 DSGVO

Answer 48

Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich: a) systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen; b) umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder c) systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.

Question 49

Betroffene Personen haben aber auch auf Anfrage bestimmte Rechte gegenüber Ihnen im Hinblick auf ihre eigenen personenbezogenen Daten. Diese Rechte sind:

Answer 49

* das Recht auf Auskunft, * das Recht auf Widerspruch, * das Recht auf Löschung, * das Recht auf Einschränkung der Verarbeitung, * das Recht auf Datenübertragbarkeit.