Auftragsverarbeiter ist nach Art. 4 Nr. 8 DS-GVO eine Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Art. 28 DSGVO ist der zentrale Abschnitt für Auftragsverarbeiter, wonach dem Verantwortlichen gemäß Absatz 1 vor Auftragsvergabe zunächst eine Prüfung der Geeignetheit des Auftragsverarbeiters auferlegt wird. Der Verantwortliche darf sich danach nur solcher Auftragsverarbeiter bedienen, die hinreichende Garantien dafür bieten, dass sie geeignete technische und organisatorische Maßnahmen für einen ausreichenden Datenschutz anwenden, so dass die Verarbeitung im Einklang mit der DSGVO erfolgt und den Schutz der Rechte der betroffenen Personen gewährleistet.

Entsprechend der bisherigen Rechtslage muss der Verantwortliche mit dem Auftragsverarbeiter einen Vertrag über die weisungsgebundene Tätigkeit schließen.

Mit der DSGVO sind die Bußgelder für Datenschutzverstöße drastisch erhöht worden.

Beispiele für verhängte Bußgelder in Deutschland:

• Unerlaubte Werbeanrufe – 145.00€
• fehlender AV-Vertrag, Verstoß gegen Transparenz- und Verständlichkeitsgebot – 50.000€
• Unerlaubte Kameraüberwachung eines Gastraums – 2.000€
• fehlende Benennung eines Datenschutzbeauftragten – 10.000 €
• Patientenverwechslung bei der Aufnahme eines Patienten – 105.000 €
• Mißachtung von persönlichen Rechten, keine Löschung ehemaliger Kundendaten und unerwünschte Werbemails -195.407 €
• Privatperson – veröffentlichung personenbezogener Daten eines Dritten – 118 €

Beim Datenschutz geht es um die Rechtmäßigkeit der Verarbeitung personenbezogener Daten, die Rechte der betroffenen Personen und um die Informationspflicht der erhebenden bzw. verarbeitenden Stelle.

Mit dem Inkrafttreten der DSGVO im Mai 2018 wurden zudem explizite Anforderungen an die technische Umsetzung (Art.25) und die Sicherheit der Verarbeitung (Art.32) verankert. Die Datensicherheit ist seitdem Bestandteil einer wirksamen Datenschutzorganisation.

Der Schutz der personenbezogenen Daten steht im Fokus der Datensicherheit.

Typische Schutzmaßnahmen sind beispielsweise:

• Zutrittskontrolle – Maßnahmen, die nur autorisierten Personen physikalischen Zutritt zu einem geschützten Gebäude, Raum, Tresor etc. ermöglichen.
• Zugangskontrolle – Maßnahmen, die sicherstellen, dass nur autorisierte Personen den Zugang zu den geschützten Systemen / Bereichen erhalten.
• Zugriffskontrolle – Maßnahmen, die gewährleisten, dass nur befugte Personen Zugriff auf die geschützten Daten erhalten.

Beispiel für die technische-organisatorische Umsetzung und Sicherheit der Verarbeitung : Serverraum – Server – Datei

Zutritt zum Serverraum – Tür mit Schlüssel nur für befugte Personen

Zugang zum Server – Administrator mit Administrator-Passwort

Zugriff auf Datei  – mit sensiblen Daten nur für befugte Personen mit festgelegten Berechtigungen wie – „darf nur lesen“, „darf Daten hinzufügen“, „darf korrigieren“, „darf lösche“n usw.

Beispiel für technische Umsetzung: Consent Banner – Setzen von Cookies

Der IT-Grundschutz ist eine Methode für ein systematisches Vorgehen, um notwendige Sicherheitsmaßnahmen der unternehmenseigenen Informationstechnik zu identifizieren und umzusetzen. Sie ist zudem sehr interessant für kleinere und mittelständische Unternehmen.

Art. 4 Nr. 1 DSGVO – Personenbezogene Daten (pbD) sind „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (auch betroffene Person) beziehen.“

Art. 9 DSGVO – Besondere Kategorien pbD

Diese Daten unterliegen einem besonderen Schutz, da sie ein hohes Risiko (bspw. für Diskriminierung) für die betroffene Person darstellen.

Daher ist die Verarbeitung dieser Daten grundsätzlich untersagt! – Art.9 Abs. 1

Die Ausnahmen, wann diese Daten verarbeitet werden dürfen, ist in Art. 9 Abs. 2 geregelt. Greift eine Ausnahme nicht, dann ist die Verarbeitung untersagt.

… in progress …

Verantwortlich für die Verarbeitung personenbezogener Daten ist in der Regel der/die Geschäftsführer*in, Inhaber*in etc.

Die Verantwortung des für die Verarbeitung Verantwortlichen regelt Art. 24 DSGVO.

„Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen (TOMs) um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt.“

Nach Art. 30 Abs. 1 DSGVO hat jeder Verantwortliche ein Verarbeitungsverzeichnis zu führen. Diese sind schriftlich zu führen, wobei auch ein elektronisches Format erlaubt ist.

Es gibt Ausnahmen, wann dieses Verzeichnis nicht zu führen ist. Doch sobald Sie Mitarbeiter beschäftigen und die Religionszugehörigkeit (pbD besonderer Kategorie) erfassen (müssen), sind sie verpflichtet, ein solches Verzeichnis zu führen.

Ein Verarbeitungsverzeichnis beinhaltet neben den Kontaktdaten des Verantwortlichen bspw. den Zweck der Verarbeitung, Kategorien betroffener Personen und Kategorien personenbezogene Daten und weitere Informationen … nicht ganz einfach, weshalb es oft am DSB „hängen“ bleibt, obwohl es eigentlich nicht ihre/seine Aufgabe sein sollte… schön gedacht, in der Praxis jedoch häufig nicht umsetzbar.