Datenschutz von A bis Z

Der Angemessenheitsbeschluss ist ein Beschluss der Europäischen Kommission gemäß Art. 45 DSGVO, der festlegt, dass ein Drittland ein angemessenes Schutzniveau für personenbezogene Daten bietet. Hierzu werden die innerstaatlichen Rechtsvorschriften des Landes, seine Aufsichtsbehörden und die von ihm eingegangenen internationalen Verpflichtungen berücksichtigt. Das Drittland, für den ein Angemessenheitsbschluss besteht, wird dann wie ein Land innerhalb der EU gewertet, sodass keine besonderen Vorkehrungen mehr getroffen werden müssen.

Aktuell besteht ein Angemessenheitsbeschluss für diese Länder:
Andorra, Argentinien, Kanada (nur kommerzielle Organisationen), Färöer, Guernsey, Israel, Isle of Man, Japan, Jersey, Republik Korea, Neuseeland, Schweiz, Uruguay, USA (nur zertifizierte Unternehmen) und Vereinigtes Königreich.

Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. Der Unterschied zur Pseudonymisierung liegt darin, dass bei einer Anonymisierung ein Rückschluss auf die betroffene Person nicht mehr möglich ist.

Unter Aufbewahrungspflicht versteht man die Pflicht, bestimmte Geschäftsunterlagen zu abgeschlossenen Geschäftsvorgängen für handels- und/oder steuerrechtliche Zwecke geordnet aufzubewahren, damit man diese bei Bedarf nachweisen kann. Die gängigsten gesetzlichen Grundlagen für Deutschland finden sich in § 257 HGB, § 147 AO sowie § 14b UStG. Außerdem gibt es branchen- oder anwendungsspezifische Aufbewahrungspflichten für Dokumente z.B. in der Telekommunikation, im Medizinbereich oder im Bauwesen. Mit einem gut ausgestalteten Löschkonzept kann man sowohl den datenschutzrechtlichen Anforderungen aus der DSGVO gerecht werden als auch die gesetzlichen Aufbewahrungspflichten einhalten.

Die Aufsichtsbehörde ist gemäß Art. 4 Nr. 21 DSGVO eine von einem Mitgliedstaat eingerichtete unabhängige staatliche Stelle, die die Einhaltung der Vorschriften der DSGVO überwacht.

In Deutschland gibt es 18 Datenschutzaufsichtsbehörden: 17 Aufsichtsbehörden in den jeweiligen Bundesländern, wobei es in Bayern jeweils eine Aufsichtsbehörde für den öffentlichen Bereich und eine Aufsichtsbehörde für den nicht-öffentlichen Bereich gibt, sowie eine Aufsichtsbehörde, die für die Bundesbehörden und Anbieter von Telekommunikations- oder Postdienstleistungen zuständig ist.

Andere EU-Mitgliedsstaaten haben dagegen nur eine zentrale Aufsichtsbehörde.

• Aufsichtsbehörde für Bundesbehörden und Anbieter von Telekommunikations- oder Postdienstleistungen: Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
• Baden-Württemberg: Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
• Bayern:
  • Aufsichtsbehörde für den öffentlichen Bereich: Der Bayerische Landesbeauftragte für den Datenschutz
  • Aufsichtsbehörde für den nicht-öffentlichen Bereich: Bayerisches Landesamt für Datenschutzaufsicht
• Berlin: Berliner Beauftragte für Datenschutz und Informationsfreiheit
• Brandenburg: Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg
• Bremen: Die Landesbeauftragte für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen
• Hamburg: Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
• Hessen: Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
• Mecklenburg-Vorpommern: Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern
• Niedersachsen: Der Landesbeauftragte für den Datenschutz Niedersachsen
• Nordrhein-Westfalen: Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
• Rheinland-Pfalz: Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
• Saarland: Unabhängiges Datenschutzzentrum Saarland Landesbeauftragte für Datenschutz und Informationsfreiheit
• Sachsen: Sächsische Datenschutz- und Transparenzbeauftragte
• Sachsen-Anhalt: Landesbeauftragter für den Datenschutz Sachsen-Anhalt
• Schleswig-Holstein: Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
• Thüringen: Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit

Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten gemäß Art. 4 Nr. 8 DSGVO ausschließlich im Auftrag und nach Weisung des für die Verarbeitung Verantwortlichen.

Die Auftragsverarbeitung ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag und nach Weisung des für die Verarbeitung Verantwortlichen.
Die DSK hat hierzu ein Kurzpapier veröffentlicht.

Der Auftragsverarbeitungsvertrag wird beim Vorliegen einer Verarbeitung im Auftrag (Auftragsverarbeitung) geschlossen. Hierbei gibt Art. 28 Abs. 3 DSGVO die inhaltlichen Mindestanforderungen für den Auftragsverarbeitungsvertrag vor.

Das Auskunftsrecht, das in Art. 15 DSGO geregelt ist, spielt in Bezug auf die Betroffenenrechte eine ganz zentrale Rolle, da das Auskunftsrecht es der betroffenen Person erst ermöglicht, weitere Rechte (z.B. Berichtigung oder Löschung) geltend zu machen.
Die DSK hat hierzu ein Kurzpapier veröffentlicht.

Das berechtigte Interesse ist eine Rechtsgrundlage gemäß Art. 6 Abs. 1 S. 1 lit. f) DSGVO. Hiernach ist eine Datenverarbeitung rechtmäßig, wenn hierdurch die berechtigten Interessen des Verantwortlichen oder eines Dritten gewahrt werden, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. In diesem Fall ist eine Verhältnismäßigkeitsprüfung durchzuführen, bei der die Interessen des Verantwortlichen mit den Interessen der betroffenen Person gegeneinander abgewogen werden (Interessenabwägung).

Die betroffene Person hat gemäß Art. 16 DSGVO das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten ? auch mittels einer ergänzenden Erklärung ? zu verlangen.

Der Beschäftigtendatenschutz umfasst alle Regelungen, die sich speziell mit der Erhebung, Verarbeitung und Nutzung von personenbezogenen Mitarbeiterdaten befassen. Ein eigenes Gesetz gibt es hierzu bislang nicht. Die Öffnungsklausel in Art. 88 Abs. 1 DSGVO regelt, dass die Mitgliedsstaaten eigene Bestimmungen im Beschäftigtendatenschutz festlegen können. Hiervon hat der deutsche Gesetzgeber Gebrauch gemacht und mit § 26 BDSG eine eigene Rechtsgrundlage geschaffen. Zu beachten ist allerdings, dass die Rechtmäßigkeit von § 26 Abs. 1 S. 1 BDSG kritisch zu beurteilen ist, da hier im Wesentlichen die Bestimmungen der DSGVO wiedergegeben werden.

Jede betroffene Person hat gemäß Art. 77 DSGVO unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.

Zu den besonderen Kategorien personenbezogener Daten gehören gemäß Art. 9 DGVO die personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. Diese Daten sind besonders geschützt.
Die DSK hat hierzu ein Kurzpapier veröffentlicht.

Als betroffene Person wird bestimmte oder bestimmbare natürliche Person bezeichnet, über deren persönliche oder sachliche Verhältnisse die personenbezogenen Daten etwas aussagen.

siehe "Verbindliche interne Datenschutzvorschriften"

Biometrische Daten sind gemäß Art. 4 Nr. 14 DSGVO mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten. Diese biometrischen Daten sind innerhalb der besonderen Kategorien personenbezogener Daten besonders geschützt.

Das Bundesdatenschutzgesetz (BDSG)(LINK: https://dejure.org/gesetze/BDSG) ergänzt und präzisiert die DSGVO an den Stellen, die nationalen Regelungen der EU-Staaten überlassen sind. Das sind insbesondere die Verarbeitung von Beschäftigtendaten, die Videoüberwachung, die Bestellung von Datenschutzbeauftragten oder die Benennung der Aufsichtsbehörden.

Für bestimmte Datenschutzverstöße verhängen die nationalen Aufsichtsbehörden nach der DSGVO Bußgelder. Diese müssen wirksam, verhältnismäßig und abschreckend sein. Für die Entscheidung, ob und in welcher Höhe Sanktionen verhängt werden, steht den Aufsichtsbehörden ein gesetzlicher Kriterienkatalog zur Verfügung. Für Verstöße, die unter Art. 83 Abs. 4 DSGVO fallen, werden Bußgelder von bis zu 10 Mio. Euro oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist. Für Verstöße, die unter Art. 83 Abs. 5 DSGVO fallen, werden Bußgelder von bis zu 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist.

Überblick zu den Bußgeldern, welche die europäischen Aufsichtsbehörden bisher medienwirksam verhängt haben.

Ein Cookiebanner wird angezeigt, wenn ein Webseitenbesucher eine Webseite zum ersten Mal besucht. Das Cookiebanner, das entweder unten auf der Seite oder als Popup-Fenster erscheint, informiert den Webseitenbesucher über die Verarbeitung personenbezogener Daten durch gesetzte Cookies. Das Cookiebanner muss so gestaltet sein, dass der Webseitenbesucher informiert in die Verarbeitung der Cookies einwilligen oder diese ablehnen kann. Hierbei muss beachtet werden, dass das Ablehnen genauso leicht möglich ist, wie das Einwilligen, dass kein Nudging stattfindet und dass keine Datenverarbeitung stattfindet, wenn nicht vorher eingewilligt wurde.
Bei technisch erforderlichen Cookies nach " 25 Abs. 2 TTDSG muss weder über den Einsatz dieser Cookies informiert noch eine Einwilligung eingeholt werden.

Cookies sind kleine Textinformationen, die über den Browser im Endgerät als Datei gespeichert werden. Diese können genutzt werden, Online-Kaufabwicklungen in Warenkörben abzuschließen, Passwörter zu speichern, User-Voreinstellungen zu hinterlegen, um eine einfachere Bedienbarkeit für den Nutzer bei einem erneuten Seitenbesuch zu ermöglichen oder zusätzliche Informationen über das User-Verhalten im Web zu sammeln. Es wird in technisch zwingend erforderliche Cookies nach § 25 Abs. 2 TTDSG und einwilligungsbasierte Cookies nach 25 Abs. 1 TTDSG unterschieden.

Die Europäische Kommission hat im Juli 2023 für das Data Privacy Framework, also dem Nachfolger des Privacy Shields einen neuen Angemessenheitsbeschluss erlassen und somit ein angemessenes Schutzniveau angenommen. Mit dem Data Privacy Framework können personenbezogene Daten aus der EU in die USA übermittelt werden, ohne dass zusätzliche Maßnahmen erforderlich sind. Allerdings gilt das Data Privacy Framework nur für US-Unternehmen, die nach den Data Privacy Framework zertifiziert ist.
Max Schrems, der österreichische Datenschutz-Aktivist, hat bereits angekündigt, wie bei Schrems I und Schrems II hiergegen zu klagen und "Schrems III" ebenfalls zu gewinnen, da seiner Ansicht nach die Anforderungen, die der EuGH in seinem Schrems II-Urteil vorgetragen hat, auch beim Data Privacy Framework nicht erfüllt seien.

Der Grundsatz der Datenminimierung ergibt sich aus Art. 5 Abs. 1 lit. c) DSGVO und beinhaltet, dass der für die Verarbeitung Verantwortliche die Verarbeitung personenbezogener Daten nur auf diejenigen Informationen beschränken muss, die für die Erfüllung des spezifischen Zwecks notwendig, angemessen und erforderlich sind. Zudem dürfen die personenbezogenen Daten nur so lange aufbewahrt werden, wie es für die Erfüllung dieses konkreten Zwecks erforderlich ist.

siehe "Verletzung des Schutzes personenbezogener Daten"

Die Aufgaben des Datenschutzbeauftragten umfassen gemäß Art. 39 DSGVO: Das Hinwirken auf die Einhaltung aller relevanten Datenschutzvorschriften, die Überwachung bestimmter Prozesse (Datenschutz-Folgenabschätzung, Sensibilisierung und Schulung der Mitarbeiter) sowie die Zusammenarbeit mit der Aufsichtsbehörde. Der Datenschutzbeauftragte ist daher ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen einzubinden. Der Verantwortliche muss die Kontaktdaten des Datenschutzbeauftragten veröffentlichen und die Aufsichtsbehörde hierüber in Kenntnis setzen. Das Unternehmen bleibt trotz der Überwachungsfunktion für die Einhaltung der datenschutzrechtlichen Vorschriften selbst verantwortlich.
Die DSK hat hierzu ein Kurzpapier veröffentlicht.

Bei der Datenschutzfolgenabschätzung (DSFA) handelt es sich um die Pflicht des Verantwortlichen nach Art. 35 DSGVO, vor Beginn einer geplanten Datenverarbeitung eine Abschätzung der Folgen für die Rechte und Freiheiten der betroffenen Personen vorzunehmen und zu dokumentieren. Grundsätzlich ist die DSFA immer dann durchzuführen, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Darüber hinaus ist sie zwingend durchzuführen, wenn eines der in Art. 35 Abs. 3 DSGVO bestimmten Regelbeispiele vorliegt. Die Aufsichtsbehörden haben zudem Blacklisten veröffentlicht, die die Durchführung einer DSFA erfordern.
Die DSK hat hierzu ein Kurzpapier veröffentlicht.

Die Datenschutzgrundsätze ergeben sich aus Art. 5 DSGVO. Personenbezogene Daten müssen demnach

1. auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden ("Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz").
2. für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden ("Zweckbindung").
3. dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein ("Datenminimierung").
4. sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden ("Richtigkeit").
5. in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist ("Speicherbegrenzung").
6. in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen ("Integrität und Vertraulichkeit").

Die Datenschutzgrundverordnung ist die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG.
Die DSGVO enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten und schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.

Die Datenschutzkonferenz (DSK) besteht aus den 18 unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder. Ihre Aufgaben bestehen darin, die Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für dessen Fortentwicklung einzutreten. Hierzu veröffentlicht die DSK regelmäßig Kurzpapiere, Entschließungen, Beschlüsse, Orientierungshilfen, Stellungnahmen und Pressemitteilungen.

Ein Datenschutzkoordinator kann neben dem Datenschutzbeauftragten in einem Unternehmen eingesetzt sein. Dieser unterliegt nicht direkt den Vorschriften der Art. 37 ff. DSGVO, sondern unterstützt den (oftmals externen) Datenschutzbeauftragten innerhalb seines Fachbereichs.

siehe "Verletzung des Schutzes personenbezogener Daten"

Bei der Datentransferfolgenabschätzung (DTFA) handelt es sich um eine Risikobewertung, wonach der Exporteur der personenbezogenen Daten überprüfen muss, ob der Importeur dieser personenbezogenen Daten durch geltendes Recht im Drittland gezwungen sein kann, gegen die datenschutzrechtlichen Anforderungen der DSGVO zu verstoßen. Im Rahmen der Standarddatenschutzklauseln (SCCs) muss eine solche DTFA durchgeführt werden.

Die betroffene Person hat gemäß Art. 20 DSGVO das Recht, in bestimmten Fällen die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln.

Der Digital Markets Act (Englisch: "Gesetz über digitale Märkte") ergänzt das Wettbewerbsrecht und beschränkt den Einfluss und die Macht von marktbeherrschenden Digitalkonzernen. Mit dem Digital Markets Act stellt die EU-Kommission einen Verhaltenskodex für große Digitalunternehmen auf.

Der Digital Services Act (Englisch: "Gesetz über digitale Dienste") stellt sicher, dass Plattformen und Suchmaschinen illegale Inhalte auf ihren jeweiligen Seiten schneller als bisher entfernen. Internetnutzer sollen es einfacher haben, solche Inhalte zu melden. In Deutschland existiert diese Anforderung bereits durch das NetzDG, das durch den Digital Services Act ersetzt werden soll. Große Anbieter haben dabei strengere Regeln zu beachten als kleine.

Da beim Opt-In insbesondere bei Newsletter-Anmeldungen fehlerhafte Daten eingegeben oder Kontaktinformationen sehr einfach durch Dritte missbraucht werden können, kommt hier das Double-Opt-In-Verfahren (DOI) zum Einsatz. Beim DOI wird das erste Opt-In durch eine zweite Zustimmung ergänzt. Trägt ein Interessent seine Kontaktdaten in der Anmeldemaske für den Newsletter ein und klickt auf OK (erstes Opt-In), erhält er anschließend als Authentifikationsverfahren eine E-Mail oder SMS an die von ihm angegebene E-Mail-Adresse oder Handynummer und muss über den darin enthaltenen Link die Newsletter-Anmeldung noch einmal bestätigen (zweites Opt-In). Hierdurch wird sichergestellt, dass der Empfänger die erhaltene Bestätigungsmail bei missbräuchlicher oder fehlerhafter Nutzung der eigenen Daten ignorieren und sich dadurch vor einem ungewollten Abonnement schützen kann.

Dritter ist gemäß Art. 4 Nr. 10 DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.

Ein Drittland ist jedes Land, das nicht zur EU oder zum EWR gehört.
Die DSK hat hierzu ein Kurzpapier veröffentlicht.

Die Einschränkung der Verarbeitung ergibt sich aus dem Recht auf Einschränkung gemäß Art. 18 DSGVO und meint gemäß Art. 4 Nr. 3 DSGVO die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken.

Die Einwilligung einer betroffenen Person ist gemäß Art. 4 Nr. 11 DSGVO jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Die Anforderungen an die Rechtmäßigkeit sowie Wirksamkeit einer Einwilligung sind in Art. 7 DSGVO festgelegt. Demnach muss die Einwilligung freiwillig, für einen konkreten Fall, nach ausreichender Information des Betroffenen und unmissverständlich abgegeben werden. Für die Einwilligung gibt es kein Formerfordernis, sie kann also schriftlich, mündlich oder konkludent abgegeben werden. Allerdings wird aber zu Nachweiszwecken empfohlen, Einwilligungen dokumentiert einzuholen.
Die DSK hat hierzu ein Kurzpapier veröffentlicht.

Empfänger ist gemäß Art. 4 Nr. 9 DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht.

Der Europäische Datenschutzausschuss (EDSA), der in Brüssel sitzt, ist eine unabhängige europäische Einrichtung, die zur einheitlichen Anwendung der Datenschutzvorschriften im gesamten Europäischen Wirtschaftsraum (EWR) beiträgt und die Zusammenarbeit zwischen den Datenschutzbehörden des EWR fördert.
Der EDSA besteht aus Vertretern der nationalen Datenschutzbehörden und dem Europäischen Datenschutzbeauftragten (EDSB).

Das Fernmeldegeheimnis schützt das Recht des Einzelnen gegenüber dem Staat auf Abschirmung der nicht öffentlichen Kommunikation, um den unbeobachteten Austausch und die Weitergabe von Tatsachen, Meinungen und Gedanken zu ermöglichen. Hierbei sind alle Kommunikationswege umfasst, also sowohl Briefe und sonstige Postsendungen als auch E-Mails, Telefonate, SMS, Faxe oder sonstige digitale Kommunikationsmöglichkeiten.

Fernwartung ist eine Möglichkeit, IT-Systeme von entfernten Standorten aus zu überwachen, zu konfigurieren, zu steuern, upzudaten oder zu administrieren. Hierdurch muss die Arbeit nicht direkt an der IT-Komponente selbst erfolgen, sondern kann von überall auf der Welt erfolgen. Die Verbindung ist über verschiedene Techniken und Netzwerke möglich. Bei Fernwartungen, die durch einen externen Dienstleister durchgeführt werden, muss zwingend ein Auftragsverarbeitungsvertrag abgeschlossen werden.

Eine gemeinsame Verantwortlichkeit liegt gemäß Art. 26. Abs. 1 S. 1 DSGVO dann vor, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen. Diese müssen in diesem Fall in einer Vereinbarung in transparenter Form festlegen, wer von ihnen welche Verpflichtung der DSGVO erfüllt.
Die DSK hat hierzu ein Kurzpapier veröffentlicht.

Durch genehmigte Verhaltensregeln nach Art. 40 DSGVO besteht die Möglichkeit, die Vorgaben der DSGVO für besondere Kategorien von Verantwortlichen branchen- bzw. verbandsspezifisch zu konkretisieren. Verbände und andere Vereinigungen können diese Verhaltensregeln ausarbeiten, anschließend werden sie von der zuständigen Aufsichtsbehörde geprüft und genehmigt, sofern sie ausreichende Garantien zur Einhaltung der Vorgaben der DSGVO vorsehen. Genehmigte Verhaltensregeln tragen dazu bei, dass personenbezogene Daten einfacher in ein Drittland übermittelt werden können.

Genetische Daten sind gemäß Art. 4 Nr. 13 DSGVO personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden. Diese genetischen Daten sind innerhalb der besonderen Kategorien personenbezogener Daten besonders geschützt.

Gesundheitsdaten sind gemäß Art. 4 Nr. 15 DSGVO personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen. Diese Gesundheitsdaten sind innerhalb der besonderen Kategorien personenbezogener Daten besonders geschützt.

Jeder an einer Datenverarbeitung beteiligte Verantwortliche haftet gemäß Art. 82 Abs 2 DSGVO für den Schaden, der durch eine unrechtmäßige Verarbeitung verursacht wurde. In einem Auftragsverarbeitungsvertrag kann die Haftung zwischen Verantwortlichem und Auftragsverarbeiter eingeschränkt werden. Hierbei ist zu beachten, dass es zum einen die Haftung im Innenverhältnis zwischen den beiden Vertragsparteien und zum anderen die Haftung im Außenverhältnis zwischen den beiden Vertragsparteien gegenüber der betroffenen Person gibt. Während die Haftung im Außenverhältnis nicht eingeschränkt werden kann, damit sich die betroffene Person an beide Parteien wenden und ihre Rechte uneingeschränkt geltend machen könnte, ist es bei der Haftung im Innenverhältnis möglich, bestimmte Haftungskauseln wie einfache Fahrlässigkeit zwischen den beiden Vertragsparteien individuell zu regeln.

Die Haushaltsausnahme ist in Art. 2 Abs. 2 lit. c) DSGVO geregelt. Demnach findet die DSGVO auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten keine Anwendung. Diese Ausnahme umfasst jegliche persönliche und familiäre Bereiche wie Freizeit, Urlaub, Sport und Hobbys. Voraussetzung ist, dass die Verarbeitungstätigkeit ausschließlich privaten Zwecken zugeordnet sein muss. Insbesondere bei Online-Tätigkeiten oder der Nutzung sozialer Netzwerken wird die Haushaltsausnahme relevant. Im Lindquivst-Urteil hat der EuGH hierzu klare Grenzen der Haushaltsausnahme geäußert. Demnach ist die Haushaltsausnahme so auszulegen, "dass mit ihr nur Tätigkeiten gemeint sind, die zum Privat- oder Familienleben von Einzelpersonen gehören, was offensichtlich nicht der Fall ist bei der Verarbeitung personenbezogener Daten, die in deren Veröffentlichung im Internet besteht, so dass diese Daten einer unbegrenzten Zahl von Personen zugänglich gemacht werden." (Rn. 47).

Das Recht auf informationelle Selbstbestimmung befähigt jede Person dazu, selbst darüber entscheiden zu können, welche personenbezogenen Daten sie von sich preisgeben möchte und wer sie wie verwenden darf. Das Recht auf informationelle Selbstbestimmung ist eine Ausprägung des Allgemeinen Persönlichkeitsrechts gemäß Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG, wobei das Recht informationelle Selbstbestimmung inzwischen jedoch eine eigenständige Bedeutung hat. 1983 hatte das Bundesverfassungsgericht in seinem Volkszählungs-Urteil das Grundrecht auf informationelle Selbstbestimmung herausgearbeitet.

Damit betroffene Personen ihr Recht auf Schutz ihrer personenbezogener Daten wahrnehmen können, muss die Datenerhebung und -nutzung transparent dargelegt und den Informationspflichten entsprechend nachgekommen werden. Hierbei unterscheidet die DSGVO zum einen, wenn die personenbezogene Daten bei dem Betroffenen direkt erfasst werden (Art. 13 DSGVO) und zum anderen, wenn diese nicht bei der betroffenen Person direkt erhoben werden (Art. 14 DSGVO).

Bei der Rechtsgrundlage des berechtigten Interesses nach Art. 6 Abs. 1 S. 1 lit. f) DSGVO muss eine Interessensabwägung durchgeführt werden. Das heißt, dass die Interessen des Verantwortlichen mit den Interessen der betroffenen Person abgewogen werden. Hierzu wird zuerst geprüft, ob die Datenverarbeitung einen legitimen Zweck verfolgt. Anschließend wird geprüft, ob die Datenverarbeitung dazu geeignet ist, diesen Zweck zu erreichen. Danach muss geprüft werden, ob die Datenverarbeitung erforderlich ist, um den Zweck zu erreichen und ob es nicht mildere Mittel gibt, um diesen Zweck auf eine andere Art und Weise zu erreichen. Letztendlich muss geprüft werden, ob die Datenverarbeitung angemessen und verhältnismäßig ist. Im Ergebnis muss das Interesse des Verantwortlichen an der Verarbeitung nachweisbar schwerer wiegt als das Interesse der betroffenen Person.

siehe "Gemeinsame Verantwortlichkeit"

Eine juristische Person ist keine "Person" im wörtlichen Sinne, sondern ein Zusammenschluss von mehreren natürlichen oder juristischen Personen bzw. deren Vermögen. Typische Beispiele für eine juristische Person sind GmbHs, AGs oder Vereine. Während natürliche Personen durch die DSGVO geschützt sind, können juristische Personen keine betroffenen Personen darstellen.

Kirchen und andere religiöse Vereinigungen oder Gemeinschaften haben nach Art. 91 DSGVO eine rechtliche Sonderstellung. Demnach können sie nach eigenen Kirchen-Datenschutzgesetzen agieren, soweit diese den Voraussetzungen des Art. 91 DSGVO entsprechen und insbesondere mit der DSGVO in Einklang gebracht werden können.

Das Kohärenzverfahren wird in Art. 63 DSGVO geregelt. Demnach sind die Aufsichtsbehörden zum Zwecke der einheitlichen Anwendung der DSGVO dazu verpflichtet, untereinander (horizontal) und gegebenenfalls mit der Kommission (vertikal) zusammenzuarbeiten.

Setzt ein Verantwortlicher einen Auftragsverarbeiter ein, darf der Verantwortliche gemäß Art. 28 Abs. 1 DSGVO nur solche Auftragsverarbeiter einsetzen, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. Diese Kontrollpflichten erstrecken sich hierbei über den gesamten Zeitraum der Zusammenarbeit und sollten dokumentiert werden.

Zusätzlich zum Bundesdatenschutzgesetz (BDSG) gelten in Deutschland jeweils die Landesdatenschutzgesetze (LDSG) für die 16 Bundesländer. Diese Landesdatenschutzgesetze sind weithin deckungsgleich mit den Regelungen des Bundesdatenschutzgesetzes. Grundsätzlich regeln die LDSG den Datenschutz in öffentlichen Stellen des jeweiligen Bundeslandes. Daher gelten sie für Unternehmen meistens nicht, soweit kein Ausnahmefall Anwendung findet.

Das Recht auf Löschen bzw. Vergessenwerden ist in Art. 17 DSGVO geregelt, wobei hier primär Löschpflichten festgelegt werden. Demnach sind personenbezogene Daten unverzüglich zu löschen, sobald die Daten zum ursprünglichen Verarbeitungszweck nicht mehr erforderlich sind. Sie sind auch dann zu löschen, wenn die betroffene Person Widerspruch einlegt und keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen, wenn die betroffene Person ihre Einwilligung widerrufen hat und kein sonstiger Rechtfertigungsgrund einschlägig ist oder wenn die Löschung zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich ist. Außerdem müssen die Daten auch dann gelöscht werden, wenn bereits die Verarbeitung an sich unrechtmäßig war.
Die DSK hat hierzu ein Kurzpapier veröffentlicht.

Unter Löschfrist wird der Zeitraum verstanden, in dem personenbezogene Daten anhand eines festgelegten Löschkonzepts nach Ablauf der gesetzlichen Aufbewahrungspflichten gelöscht werden müssen. Da die meisten gesetzlichen Aufbewahrungspflichten Jahresfristen sind, müssen die relevanten personenbezogenen Daten zum Schluss des entsprechenden Kalenderjahres gelöscht werden, auch wenn die Daten unterjährig entstanden sind.

In einem Löschkonzept wird systematisch und standardisiert definiert, wie und wann (Löschfrist) personenbezogene Daten in einem Unternehmen gelöscht werden, wenn deren Aufbewahrungsfrist abgelaufen ist. Hierbei greifen die gesetzlichen Aufbewahrungspflichten und das Recht auf Löschen ineinander, sodass sowohl die Interessen der Verantwortlichen, Daten bei Bedarf nachweisen zu können, als auch die Interessen der betroffenen Personen, die eigenen personenbezogenen Daten selbstbestimmt gelöscht zu wissen, beachtet werden können.

Bei der Mehr-Faktor-Authentifizierung werden mehrere Faktoren zur Authentifizierung für ein System abgefragt, z.B. wird neben Benutzernamen und Passwort zusätzlich ein Code auf ein anderes Gerät (meist Handy) geschickt, der dann übertragen werden muss und zusätzlich wird noch ein weiterer Faktor wie z.B. Biometrie (Fingerabdruck, Gesichtsscan) abgefragt. Hierdurch wird sichergestellt, dass der Nutzer auch berechtigt ist, das System zu nutzen. Sollte ein Unberechtigter z.B. die Zugangsdaten missbräuchlich erhalten haben, kann er das System nicht nutzen, da er keinen Zugang zu den weiteren Faktoren (hier der SMS-Code und Fingerabdruck) hat.

Die Meldefrist bei Datenschutzverletzungen ergibt sich aus der DSGVO. Demnach muss beim Vorliegen von Risiken für die Rechte und Freiheiten betroffener Personen gemäß Art. 33 DSGVO unverzüglich, möglichst jedoch innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden. Beim Vorliegen von hohen Risiken für die Rechte und Freiheiten betroffener Personen muss die Datenschutzverletzung gemäß Art. 34 DSGVO unverzüglich den betroffenen Personen mitgeteilt werden.

Siehe "Mehr-Faktor-Authentifizierung"

Nach § 1 BGB ist eine natürliche Person jeder Mensch, unabhängig von dem Geschlecht, dem Herkunftsort und ob sie voll- oder minderjährig ist. Als natürliche Person gilt sie als betroffene Person in der DSGVO. Mehrere natürliche Personen können sich als juristische Person zusammenschließen.

Unter Nudging (Englisch: "Anstoßen", "Stupsen" oder "Schubsen") soll das Gegenüber dazu auf meist sanfte und subtile Weise bewegt werden, sich für eine erwünschte Verhaltensweise zu entscheiden. Im Datenschutz begegnet man dem Nudging meist im Rahmen der Einholung einer Einwilligung auf der Webseite über Cookiebanner. Im Datenschutzrecht ist das Nudging nicht erlaubt, daher muss das Cookiebanner z.B. so gestaltet sein, dass der "Ablehnen"-Button genauso leicht und gerne geklickt werden kann wie der "Annehmen"-Button. Insbesondere sollte auf die Farben rot und grün oder sonstige formale Verwirrungsstrategien verzichtet werden, damit die Einwilligung in informierter Weise und freiwillig abgegeben werden kann.

Öffnungsklauseln sind Regelungen in der DSGVO, durch die die nationalen Gesetzgeber der Mitgliedsstaaten bestimmte Sachverhalte abweichend von der DSGVO regeln und konkretisieren können. Allerdings dürfen diese durch Öffnungsklauseln legitimierten nationalen Regelungen das Datenschutzniveau der DSGVO nicht unterschreiten. Ein Beispiel für Öffnungsklauseln ist z.B. in Art. 37 Abs. 4 S. 1 DSGVO, wonach der nationale Gesetzgeber festlegen kann, wann ein Datenschutzbeauftragter zusätzlich neben den Voraussetzungen aus der DSGVO zu bennen ist. Ein weiteres Beispiel ist Art. 88 Abs. 1 DSGVO, wonach die Mitgliedsstaaten eigene Bestimmungen im Beschäftigtendatenschutz festlegen können.

Unter Opt-In (Englisch: "sich für etwas entscheiden") wird ein Verfahren verstanden, bei dem der Nutzer explizit die Zustimmung zu einer bestimmten Option erteilen müssen. Ein Beispiel findet sich bei Cookiebannern, bei denen der Webseitenbesucher ausdrücklich der Setzung von Cookies zustimmen muss, indem er ein Häkchen bei "Annehmen" setzt. Bei Newsletter-Anmeldungen wird ein Double-Opt-In gefordert, bei dem zwei Einwilligungen erteilt werden müssen. Grundsätzlich darf eine Einwilligung nur über Opt-In erteilt werden und nicht über das gegensätzliche Opt-Out, bei dem das Häkchen entfernt werden muss.

Mit Opt-Out (Englisch: "sich gegen etwas entscheiden") wird ein Verfahren bezeichnet, bei dem beim Nutzer die Zustimmung zu einer bestimmten Option vorausgesetzt wird. Der Nutzer kann dieser vorausgefüllten Option nur durch eine aktive Handlung widersprechen. Ein typisches Beispiel für ein Opt-Out ist das Entfernen eines voreingestellten Häkchens in einem Cookiebanner, um dadurch einer Datenverarbeitung zu widersprechen. Diese Vorgehensweise ist nicht erlaubt, sondern man muss immer ein Opt-In anbieten.

Personenbezogene Daten sind gemäß Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Eine Person ist identifizierbar, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

Der Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen ist in Art. 25 DSGVO geregelt.

"Privacy by design" meint "Datenschutz durch Technikgestaltung" und bedeutet, dass der Datenschutz bei der Entwicklung und Erarbeitung von Datenverarbeitungsvorgängen bereits technisch einbezogen ist. Hierbei ist darauf zu achten, dass der Stand der Technik sowie die Implementierungskosten angemessen miteinbezogen werden.

"Privacy by Default" meint "Datenschutz durch Voreinstellungen" und bedeutet, dass Datenverarbeitungsvorgänge so eingestellt und vorausgewählt sein müssen, dass sie den datenschutzrechtlichen Anforderungen gerecht werden. Hierbei müssen die Art, der Umfang, die Umstände und der Zweck der Verarbeitung beachtet sowie die Eintrittswahrscheinlichkeit und die Schwere der mit der Verarbeitung verbundenen Risiken in die Voreinstellungen einbezogen werden.

Unter Profiling wird gemäß Art. 4 Nr. 4 DSGVO jede Art der automatisierten Verarbeitung personenbezogener Daten verstanden, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen. Gemäß Art. 22 DSGVO hat grundsätzlich das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung ? einschließlich Profiling ? beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

Pseudonymisierung ist gemäß Art. 4 Nr. 5 DSGVO die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden. Im Gegensatz zur Anonymisierung können die pseudonymisierten Daten mit dem richtigen "Schlüssel" also wieder lesbar gemacht werden.

Die Rechenschaftspflicht ("Accountability") ergibt sich aus Art. 5 Abs. 2 DSGVO und bedeutet, dass der für die Verarbeitung Verantwortliche in der Lage sein muss, die Einhaltung datenschutzrechtlicher Grundsätze in der Praxis nachzuweisen. Hierfür müssen geeignete interne Mechanismen und Kontrollsysteme etabliert werden, die die Einhaltung sicherstellen und entsprechende Nachweise erbringen (z.B. durch Prüfberichte).

Die Datenverarbeitung ist gemäß Art. 6 Abs. 1 S. 1 DSGVO nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

1. Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben.
2. Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen.
3. Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt.
4. Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
5. Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
6. Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Bei einer Risikobewertung muss der Verantwortliche analysieren und beurteilen, welche konkreten Risiken durch seine Verarbeitung von personenbezogenen Daten für die betroffene Person entstehen und mit welchen Folgen für diese Person bei Risikoeintritt zu rechnen ist. Hierbei wird zum einen geprüft, wie hoch die Wahrscheinlichkeit ist, dass ein Schaden unabhängig von der schwere des Schadens eintritt (Eintrittswahrscheinlichkeit). Zum anderen wird bewertet, wie schwerwiegend der Schaden wäre, wenn er sich realisieren würde (Schwere des Schadens). Aus der Kombination von Eintrittswahrscheinlichkeit und Schwere des Schadens ergibt sich dann das konkrete Risiko für die betroffene Person. Eine solche Risikobewertung muss z.B. bei der Planung der technischen und organisatorischen Maßnahmen (TOMs), bei einer Datenschutzfolgenabschätzung (DSFA) oder bei einer Datenschutzverletzung durchgeführt werden.
Die DSK hat hierzu ein Kurzpapier veröffentlicht.

Gemäß Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Mögliche Schäden können dabei Diskriminierungen, ein Identitätsdiebstahl oder -betrug, finanzieller Verlust, Rufschädigung, der Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, die unbefugte Aufhebung der Pseudonymisierung oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile, aber auch der Verlust, die personenbezogenen Daten kontrollieren zu können, sein.

Schrems I war ein datenschutzrechtliches Gerichtsverfahren vor dem Europäischen Gerichtshof (EuGH). Es ist nach Max Schrems, einem österreichischen Datenschutz-Aktivisten, benannt. Das Schrems I-Verfahren beruhte auf der Behauptung, dass US-Unternehmen trotz des transnationalen Abkommens "Safe Harbor" zwischen den USA und der EU nicht in der Lage seien, einen angemessenen Schutz personenbezogener Daten zu gewährleisten. Durch das EuGH-Urteil Schrems I (LINK) wurde 2015 Safe Harbor zwischen der EU und den USA außer Kraft gesetzt.

Schrems II war ein datenschutzrechtliches Gerichtsverfahren vor dem Europäischen Gerichtshof (EuGH). Es ist nach Max Schrems, einem österreichischen Datenschutz-Aktivisten, benannt. Das Schrems II-Verfahren beruhte auf der Behauptung, dass US-Unternehmen trotz des transnationalen Abkommens "Privacy Shield" zwischen den USA und der EU nicht in der Lage seien, einen angemessenen Schutz personenbezogener Daten zu gewährleisten. Durch das EuGH-Urteil Schrems II (LINK) wurde 2020 das Privacy Shield zwischen der EU und den USA für ungültig erklärt.

Standarddatenschutzklauseln sind Vertragsvorlagen der EU-Kommission, die zur Bereitstellung angemessener Garantien für Datenübermittlungen aus der EU oder dem EWR in Drittländer festgelegt wurden (LINK). Diese Klauseln dürfen inhaltlich nicht bzw. nur sehr eingeschränkt angepasst werden. Die Standarddatenschutzklauseln müssen verwendet werden, wenn eine Datenübermittlung in ein Drittland erfolgt und keine anderen rechtlichen Voraussetzungen aus Art. 45 ff. DSGVO gegeben sind. Die Standarddatenschutzklauseln sind hierbei modular aufgebaut:

• Modul 1: Übermittlung von Verantwortlichen an Verantwortliche
• Modul 2: Übermittlung von Verantwortlichen an Auftragsverarbeiter
• Modul 3: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter
• Modul 4: Übermittlung von Auftragsverarbeitern an Verantwortliche

Standardvertragsklauseln sind Vertragsmuster der EU-Kommission, die als standardisierter Auftragsverarbeitungsvertrag vorgeschlagen wurden (LINK). Diese Standardvertragsklauseln sollen Verantwortlichen und Auftragsverarbeitern helfen, rechtsgültige Auftragsverarbeitungsverträge abzuschließen. Die Nutzung der Standardvertragsklauseln ist aufgrund der Privatautonomie der Unternehmen freiwillig.

Die Datenschutzaufsichtsbehörden müssen gemäß Art. 59 DSGVO jährlich einen Tätigkeitsbericht veröffentlichen. Diese Verpflichtung besteht nicht für den Datenschutzbeauftragten, wird jedoch empfohlen, da die Unternehmensleitung hierdurch über den aktuellen Stand des Datenschutzes und der Datensicherheit im Unternehmen gut informiert werden kann. Außerdem kann der Datenschutzbeauftragte hierdurch aufzeigen, welche Themen er bearbeitet, welche Tätigkeiten er durchgeführt und welche Ziele er im vorangegangenen Jahr erreicht hat.

Technische und organisatorische Maßnahmen (kurz TOMs genannt) sind Maßnahmen, die die Sicherheit der Verarbeitung personenbezogener Daten gewährleisten sollen. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen müssen sowohl die Verantwortlichen als auch die Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Insbesondere Maßnahmen zur Vertraulichkeit, zur Integrität, zur Verfügbarkeit und zur Belastbarkeit der Systeme und Dienste spielen hier eine große Rolle.

Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) trat 2021 in Kraft und vereinheitlicht das Datenschutzrecht in Deutschland. Durch das TTDSG wurde die Privacy-Richtlinie der EU in nationales Recht umgesetzt. Außerdem wurden datenschutzrelevante Bestimmungen aus dem Telekommunikationsgesetz (TKG) und dem Telemediengesetz (TMG) zusammengefasst und an die DSGVO angeglichen. Hierdurch wurden die Rechtsunsicherheiten, die durch das bisherige Nebeneinander dieser drei Gesetze (TKG, TMG, DSGVO) entstanden sind, ausgeräumt.

Siehe "Datentransferfolgenabschätzung (DTFA)"

Der Grundsatz der Transparenz setzt voraus, dass die für die betroffene Person bestimmten Informationspflichten präzise, leicht zugänglich und verständlich sowie in klarer und einfacher Sprache abgefasst sein muss.

Ein Auftragsverarbeiter kann ebenfalls einen weiteren Subdienstleister einsetzen, der für ihn personenbezogene Daten verarbeitet. In diesem Fall ist der weitere Auftragsverarbeiter der Unterauftragsverarbeiter in der Vertragskonstellation zwischen Verantwortlichem und Auftragsverarbeiter. In diesem Konstrukt wird in der Vertragskonstellation zwischen dem Auftragsverarbeiter und Unterauftragsverarbeiter der Auftragsverarbeiter zum Verantwortlichen und der Unterauftragsverarbeiter zum Auftragsverarbeiter. Diese Kette kann so beliebig weit fortgeführt werden. Es besteht hierdurch kein Vertragsverhältnis zwischen dem originären Verantwortlichen und dem Unterauftragsverarbeiter.

Der Verantwortliche ist gemäß Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Die Verarbeitung personenbezogener Daten ist gemäß Art. 4 Nr. 2 DSGVO jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Verbindliche unternehmensinterne Datenschutzregeln sind ein Rechtsinstrument aus Art. 47 DSGVO, das internationale Unternehmen einsetzen können, um ein angemessenes Schutzniveau für die Übermittlung personenbezogener Daten innerhalb der Unternehmensgruppe von einem EU-/EWR-Land in ein Drittland zu gewährleisten.
Für den Einsatz verbindlicher unternehmensinterner Datenschutzregeln ist grundsätzlich die Zustimmung der EU- oder EWR-Datenschutzbehörden für jedes der Länder, aus denen die Daten zu übermitteln sind, erforderlich.

Eine Verletzung des Schutzes personenbezogener Daten ist gemäß Art. 4 Nr. 12 DSGVO eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. Diese Datenschutzverletzung muss beim Vorliegen von Risiken für die Rechte und Freiheiten betroffener Personen gemäß Art. 33 DSGVO unverzüglich, möglichst jedoch innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden. Beim Vorliegen von hohen Risiken für die Rechte und Freiheiten betroffener Personen muss die Datenschutzverletzung gemäß Art. 34 DSGVO unverzüglich den betroffenen Personen mitgeteilt werden.

Bei der Verschlüsselung, die u.a. in Art. 32 Abs. 1 lit. a) DSGVO aufgeführt ist, wird ein Klartext durch einen Schlüssel in einen Geheimtext umgewandelt, sodass die Informationen des Klartextes nur noch unter Verwendung des passenden Schlüssels wieder lesbar werden. Hierdurch wird das Risiko eines Vorfalls bei der Datenverarbeitung minimiert, da verschlüsselte Daten für unberechtigte Dritte ohne den passenden Schlüssel nicht lesbar sind.

Unter Vertraulichkeit wird die Pflicht bezeichnet, Informationen nicht an Personen weiterzugeben, die nicht zum Empfang dieser Informationen qualifiziert sind. Die Vertraulichkeit ist ein Grundsatz für die Verarbeitung personenbezogener Daten und ergibt sich aus Art. 5 Abs. 1 lit. f) DSGVO.

Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern ist gemäß Art. 4 Nr. 17 DSGVO eine in der Union niedergelassene natürliche oder juristische Person, die von dem Verantwortlichen oder Auftragsverarbeiter schriftlich gemäß Art. 27 DSGVO bestellt wurde und den Verantwortlichen oder Auftragsverarbeiter in Bezug auf die ihnen jeweils nach dieser Verordnung obliegenden Pflichten vertritt.

Das Verzeichnis von Verarbeitungstätigkeiten (VVT), auch "Verarbeitungsverzeichnis" genannt muss gemäß Art. 30 DSGVO sowohl vom Verantwortlichen als auch vom Auftragsverarbeiter (in angepasster Form) geführt werden. Hierbei handelt es sich um eine schriftliche Dokumentation und Übersicht über Verfahren, bei denen personenbezogene Daten verarbeitet werden. Im VVT müssen wesentlichen Angaben zur Datenverarbeitung aufgeführt werden, z.B. die Datenkategorien, der Kreis der betroffenen Personen, der Zweck der Verarbeitung und die Datenempfänger. Das VVT muss der Aufsichtsbehörde auf Anfrage vollständig zur Verfügung gestellt werden. Die DSK hat hierzu ein Kurzpapier veröffentlicht: https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_1.pdf

Die betroffene Person hat das Recht, ihre Einwilligung jederzeit gemäß Art. 7 DSGVO zu widerrufen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung wird durch den Widerruf nicht berührt. Die betroffene Person muss vor der Abgabe ihrer Einwilligung hiervon in Kenntnis gesetzt werden, zudem muss der Widerruf der Einwilligung so einfach wie die Erteilung der Einwilligung sein.

Der Widerspruch für betroffene Personen ist in Art. 21 DSGVO geregelt. Die betroffene Person hat demnach das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund der Wahrnehmung einer Aufgabe des Verantwortlichen, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt oder aufgrund des berechtigten Interesses des Verantwortlichen erfolgt, Widerspruch einzulegen. Die personenbezogenen Daten dürfen dann nicht mehr verarbeitet werden, es sei denn, der Verantwortliche kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Auf das Widerspruchsrecht muss die betroffene Person spätestens bei der ersten Kommunikation mit ihr hingewiesen werden, Art. 21 Abs. 4 DSGVO.

Die DSGVO lässt gemäß Art. 42 DSGVO ein datenschutzspezifisches Zertifizierungsverfahren zu, das die Einhaltung der europarechtlichen Datenschutzbestimmungen sicherstellen soll. Eine solche Zertifizierung kann auch die Datenübermittlung in Drittländer erleichtern. Die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW) hat als erste deutsche Datenschutzaufsichtsbehörde nationale Zertifizierungskriterien genehmigt. Das Zertifikat "European Privacy Seal" (EuroPriSe) soll hierbei zertifizieren, dass relevante Auftragsverarbeitungen von Unternehmen den Anforderungen der DSGVO entsprechen. Das European Privacy Sea wird aktuell noch seitens der EU geprüft und wird mit Spannung erwartet.

Die DSK hat hierzu ein Kurzpapier veröffentlicht.

Bei der Zwei-Faktor-Authentifizierung werden zwei Faktoren zur Authentifizierung für ein System abgefragt, z.B. wird neben Benutzernamen und Passwort zusätzlich ein Code auf ein anderes Gerät (meist Handy) geschickt, der dann übertragen werden muss. Hierdurch wird sichergestellt, dass der Nutzer auch berechtigt ist, das System zu nutzen.
Sollte ein Unberechtigter z.B. die Zugangsdaten missbräuchlich erhalten haben, kann er das System nicht nutzen, da er keinen Zugang zum zweiten Faktor (hier der SMS-Code) hat.