Grundlagen der DSGVO

Die DSGVO regelt die Verarbeitung personenbezogener Daten lebender Personen. Dabei umfasst die Verarbeitung alle Schritte, wie das Erheben, Speichern, Übermitteln und Weitergeben von Daten. Entscheidend ist, dass es sich um Daten handelt, die eine natürliche Person identifizieren oder identifizierbar machen. Personenbezogene Daten können Kennungen wie Namen, Kennnummern, Standortdaten, Online-Kennungen (z.B. IP-Adressen oder Cookies), Geburtsdatum oder Anschrift umfassen. Sie beinhalten auch Merkmale, die Ausdruck einer physischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind.

Anonyme Daten

Anonyme Daten sind solche, die keine Identifizierung einer lebenden natürlichen Person ermöglichen. Da sie nicht identifizierbar sind, fallen sie nicht unter die DSGVO. Anonyme Daten unterliegen keinen datenschutzrechtlichen Restriktionen der DSGVO und können ohne Beachtung des Datenschutzrechts verarbeitet werden.

Pseudonymisierte Daten

Pseudonymisierte Daten sind ein Sonderfall personenbezogener Daten. Laut Artikel 4 Nummer 5 der DSGVO ist Pseudonymisierung die Verarbeitung personenbezogener Daten, sodass sie ohne zusätzliche Informationen einer spezifischen betroffenen Person nicht mehr zugeordnet werden können. Diese zusätzlichen Informationen müssen gesondert aufbewahrt und durch technische und organisatorische Maßnahmen geschützt werden, um die Zuordnung zu einer identifizierten oder identifizierbaren natürlichen Person zu verhindern. Pseudonyme Daten ersetzen identifizierende Merkmale durch Kennungen wie Personalnummern oder Fantasienamen, wodurch sie schwer identifizierbar, aber nicht anonym sind. Sie fallen unter die DSGVO und genießen bestimmte Privilegien im Rahmen rechtlicher Regelungen.

Personalisierte Daten

Personalisierte Daten sind direkt einer spezifischen Person zuzuordnen und umfassen alle Informationen, die eine natürliche Person identifizierbar machen. Sie sind der Hauptfokus der DSGVO und unterliegen strengen Verarbeitungs- und Schutzregeln. Der Umgang mit personalisierten Daten erfordert sorgfältige Maßnahmen zur Wahrung der Privatsphäre und der Datensicherheit.

Zusammenfassung

Die DSGVO differenziert klar zwischen anonymen, pseudoanonymen und personalisierten Daten. Während anonyme Daten außerhalb des Anwendungsbereichs der DSGVO liegen, sind pseudoanonyme und personalisierte Daten durch sie abgedeckt. Pseudonymisierte Daten bieten einen Mittelweg, indem sie Identifizierbarkeit erschweren, aber dennoch bestimmte Rechte und Schutzmaßnahmen gewährleisten. Personalisierte Daten erfordern die höchste Aufmerksamkeit im Datenschutz, da sie direkt mit der Identität einer Person verknüpft sind. Die Kenntnis dieser Kategorien ist entscheidend für die korrekte Anwendung und Einhaltung der Datenschutzbestimmungen.

The post Anonyme, Pseudoanonyme und Personalisierte Daten appeared first on GDPR map.

Technische und organisatorische Maßnahmen (TOMs) sind wichtige Schritte, die jede Organisation, die personenbezogene Daten verarbeitet, ergreifen muss. Diese Maßnahmen sind in der Datenschutz-Grundverordnung (DS-GVO) festgelegt und zielen darauf ab, die Sicherheit der Datenverarbeitung zu gewährleisten. Die DS-GVO verlangt von Organisationen, dass sie die Rechte und Freiheiten der Personen, deren Daten sie verarbeiten, schützen. Dies beinhaltet die Gewährleistung einer rechtmäßigen Verarbeitung der Daten.

Wichtige Aspekte der DS-GVO

Es gibt spezifische Artikel in der DS-GVO, die für die Sicherheit personenbezogener Daten relevant sind:

• Artikel 24: Dieser Artikel legt fest, dass Organisationen die Datenschutzgrundsätze einhalten müssen. Diese Grundsätze umfassen Aspekte wie Rechtmäßigkeit, Fairness, Transparenz und Datenminimierung.
• Artikel 32: Hier werden Maßnahmen zur Sicherheit der Datenverarbeitung angesprochen. Organisationen sollten Maßnahmen wie Pseudonymisierung und Verschlüsselung von Daten ergreifen, insbesondere bei der Übertragung von Daten, wie z. B. in E-Mails.
• Artikel 25: Dieser Artikel betont den Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen. Organisationen sollten bereits bei der Entwicklung von Produkten und Dienstleistungen Datenschutzaspekte berücksichtigen, z. B. bei Prototypen oder Demonstratoren.

Dokumentation und Verantwortlichkeiten

Jede Organisation, die personenbezogene Daten verarbeitet, muss ein Verarbeitungsverzeichnis erstellen und fortlaufend aktualisieren. Dieses Verzeichnis ist in Artikel 30 der DS-GVO gefordert und sollte Informationen über die Datenverarbeitung enthalten, wie z. B. den Namen und die Kontaktdaten des Verantwortlichen, die Zwecke der Verarbeitung und die Fristen für die Löschung der Daten. Dieses Verzeichnis muss auch die technischen und organisatorischen Maßnahmen für jede Datenverarbeitungstätigkeit umfassen und auf Anfrage den Aufsichtsbehörden vorgelegt werden können.

Praktische Umsetzung von TOMs

Organisationen müssen abhängig von ihrer Größe und den durchgeführten Verarbeitungstätigkeiten ein breites Spektrum an technischen und organisatorischen Maßnahmen umsetzen. Dazu gehören die Erstellung von Informationssicherheitsrichtlinien, Zugriffskontrollen, die Verwendung sicherer Passwörter und Verschlüsselungsmethoden sowie Maßnahmen für die sichere Entsorgung von Dokumenten und Notfallpläne. Es ist wichtig, dass alle Maßnahmen regelmäßig überprüft und an neue Risiken angepasst werden.

Zusätzlich zu technischen Maßnahmen müssen Organisationen auch organisatorische Sicherheitsmaßnahmen ergreifen. Dazu gehört, dass Daten nur von autorisierten Personen eingesehen oder verändert werden können und dass die Integrität und Verfügbarkeit der Daten gewährleistet ist. Die Organisation muss auch das erforderliche Maß an Sicherheit beurteilen, basierend auf der Sensibilität und dem Wert der verarbeiteten Daten sowie den potenziellen Risiken bei einem Datenverlust.

Schließlich ist zu beachten, dass es keine Einheitslösung für Informationssicherheit gibt. Was für eine Organisation angemessen ist, hängt von ihren spezifischen Umständen und den Risiken ab, die ihre Datenverarbeitung mit sich bringt.

The post Technische und organisatorische Maßnahmen appeared first on GDPR map.

Seit dem 25. Mai 2018 unterliegen die Datenschutzregelungen in Europa der Datenschutz-Grundverordnung (DSGVO). Diese Verordnung der Europäischen Union gilt unmittelbar in allen Mitgliedstaaten, ohne dass sie in nationales Recht umgewandelt werden muss. Ergänzend dazu enthalten die einzelnen Mitgliedsstaaten datenschutzrechtliche Bestimmungen. In Deutschland tritt das Bundesdatenschutzgesetz (BDSG) ebenfalls am 25. Mai 2018 in Kraft. Damit existieren zwei gleichzeitig geltende rechtliche Grundlagen: die DSGVO auf europäischer Ebene und das BDSG auf nationaler Ebene.

Grundlagen und Geltungsbereiche des Datenschutzrechts

Im Zentrum der Datenschutzgesetzgebung stehen verschiedene Rechtsgrundlagen, die sowohl auf europäischer als auch auf nationaler Ebene angesiedelt sind. Die Europäische Datenschutz-Grundverordnung (DSGVO) bildet dabei die Basis für den Datenschutz in der EU und gilt für öffentliche sowie private Einrichtungen. Diese Verordnung wird durch nationale Gesetze wie das Bundesdatenschutzgesetz (BDSG) in Deutschland ergänzt. Das BDSG findet primär bei öffentlichen Stellen des Bundes Anwendung, etwa in Bundesministerien, und gilt auch für Ländereinrichtungen wie Hochschulen, sofern kein spezifisches Landesdatenschutzgesetz vorliegt. Nichtöffentliche Stellen, die sowohl natürliche als auch juristische Personen umfassen können, unterliegen ebenfalls dem BDSG. Neben der DSGVO und dem BDSG existieren landesspezifische Datenschutzgesetze in Deutschland, die für öffentliche Stellen der Länder zuständig sind. Ein Beispiel hierfür ist das bremische Ausführungsgesetz zur DSGVO. Insgesamt deckt das Datenschutzrecht ein breites Spektrum an Anwendungsbereichen ab, von Behörden bis hin zu Unternehmen, und variiert je nach Zuständigkeit auf Bundes- oder Landesebene.

Anwendungsbereich und Definition personenbezogener Daten im Datenschutzrecht

Die Anwendbarkeit des Datenschutzrechts, speziell der Datenschutz-Grundverordnung (DSGVO), hängt vom Umgang mit personenbezogenen Daten lebender natürlicher Personen ab. Unter Verarbeitung versteht man dabei vielfältige Vorgänge wie das Sammeln, Speichern, Übertragen und Weitergeben solcher Daten. Wesentlich ist die Natur der Daten: Sie müssen personenbezogen sein, also Informationen, die auf eine identifizierte oder identifizierbare natürliche Person bezogen sind. Personenbezogene Daten umfassen eine breite Palette von Informationen, von Namen und Kennnummern über Standortdaten und Online-Identifikatoren wie IP-Adressen und Cookies bis hin zu Geburtsdaten und Adressen. Auch Merkmale, die die physische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität einer Person ausdrücken, fallen darunter. Entscheidend ist, ob durch diese Daten eine Person identifizierbar ist. Wenn Daten dieser Art verarbeitet werden, kommt die DSGVO zur Anwendung.

Anonyme versus Pseudonymisierte Daten im Datenschutzrecht

Datenschutzrechtlich unterscheidet man zwischen personenbezogenen und anonymen Daten. Anonyme Daten sind solche, die keine Identifikation einer lebenden natürlichen Person ermöglichen. Da sie keine Rückschlüsse auf Individuen zulassen, fallen sie nicht unter die Bestimmungen der Datenschutz-Grundverordnung (DSGVO) und sind somit von datenschutzrechtlichen Einschränkungen ausgenommen.

Im Kontrast dazu stehen pseudonymisierte Daten, ein spezieller Fall personenbezogener Daten. Gemäß Artikel 4(5) DSGVO bezeichnet Pseudonymisierung die Verarbeitung personenbezogener Daten derart, dass die Daten ohne zusätzliche Informationen nicht mehr einer bestimmten betroffenen Person zugeordnet werden können. Diese zusätzlichen Informationen müssen separat gespeichert und durch technische und organisatorische Maßnahmen geschützt werden, um eine Zuordnung zu einer identifizierbaren Person zu verhindern. Pseudonymisierte Daten ersetzen identifizierende Merkmale durch Kennungen wie Personalnummern, Fantasienamen oder Verschlüsselungen. Für bestimmte Gruppen können diese Kennungen jedoch eine Identifikation ermöglichen. Daher fallen pseudonymisierte Daten unter den Anwendungsbereich der DSGVO und genießen bestimmte Privilegien innerhalb des rechtlichen Rahmens. Sie sind ein besonderer Fall personenbezogener Daten und unterliegen dem Datenschutzrecht, einschließlich der DSGVO. Es ist wichtig zu verstehen, dass trotz der Verwendung von Kennungen eine Identifizierung durch bestimmte Personen möglich sein kann, weshalb sie als personenbezogene Daten gelten und das Datenschutzrecht beachtet werden muss.

Räumlicher Anwendungsbereich und Verantwortlichkeiten in der Datenschutz-Grundverordnung

Die Frage nach dem räumlichen Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO) ergibt sich nach Klärung des sachlichen Anwendungsbereichs, der die Verarbeitung personenbezogener Daten umfasst. Hierbei ist entscheidend, ob der Datenverarbeiter oder der Auftragsverarbeiter eine Niederlassung innerhalb der Europäischen Union (EU) hat. Ist dies der Fall, wird die DSGVO angewendet, unabhängig davon, wo die Datenverarbeitung tatsächlich erfolgt. Dieses Prinzip wird als Niederlassungsprinzip bezeichnet: Eine EU-Niederlassung zieht die Anwendung der DSGVO nach sich, unabhängig vom Ort der Datenverarbeitung. Zusätzlich wurde der Anwendungsbereich der DSGVO erweitert. Sie gilt auch für Verantwortliche oder Auftragsverarbeiter, die personenbezogene Daten von Personen verarbeiten, die sich in der EU befinden, etwa im Kontext von Angeboten von Waren oder Dienstleistungen oder bei Online-Marketingaktivitäten, die auf das Verhalten der Nutzer in der EU abzielen. Dies wird als Marktortprinzip bezeichnet.

Die DSGVO spricht in ihren Regelungen oft von „Verantwortlichen für die Datenverarbeitung“, definiert in Artikel 4 Nummer 7 der DSGVO. Als verantwortlich gelten natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die allein oder gemeinsam über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden. Wer also Daten erhebt, speichert oder übermittelt und über deren Verwendungszweck bestimmt, ist als Verantwortlicher anzusehen. Diese Verantwortlichen müssen die Vorgaben der DSGVO beachten.

Rechtmäßigkeit der Datenverarbeitung nach der Datenschutz-Grundverordnung

Die zentrale Frage im Datenschutzrecht ist, unter welchen Bedingungen die Verarbeitung personenbezogener Daten rechtmäßig ist. Artikel 6 Absatz 1 der Datenschutz-Grundverordnung (DSGVO) bietet hierfür die Rechtsgrundlagen. Eine zulässige Datenverarbeitung kann auf der expliziten Einwilligung der betroffenen Person basieren. Dies bedeutet, dass die Person ausdrücklich zustimmt, dass ihre personenbezogenen Daten verarbeitet werden dürfen. Neben der Einwilligung gibt es weitere zulässige Gründe für die Datenverarbeitung, wie die Notwendigkeit zur Vertragserfüllung. Beispielsweise benötigt ein Verkäufer für die Lieferung von Waren Namen und Anschrift des Käufers.

Weitere Rechtsgrundlagen sind die Erfüllung rechtlicher Verpflichtungen oder die Wahrnehmung einer Aufgabe im öffentlichen Interesse, was besonders im Forschungsbereich an Hochschulen relevant ist. Ebenso kann die Datenverarbeitung aufgrund eines berechtigten Interesses des Verantwortlichen legitim sein, vorausgesetzt, diese kollidiert nicht mit den Grundrechten und -freiheiten der betroffenen Person. Die Interessen des Datenverarbeiters müssen die der betroffenen Person überwiegen, ohne deren Freiheiten unverhältnismäßig zu beeinträchtigen.

Die Einwilligung zur Datenverarbeitung ist in Artikel 4 Nummer 11 und Artikel 7 der DSGVO detailliert definiert. Sie muss freiwillig, informiert und eindeutig sein. Eine schriftliche Dokumentation der Einwilligung ist empfehlenswert, wenn auch nicht zwingend erforderlich. Die betroffene Person hat jederzeit das Recht, ihre Einwilligung zu widerrufen, und muss über dieses Recht informiert werden.

The post Datenschutz kurz zusammengefasst appeared first on GDPR map.