Was sind personenbezogene Daten? Teil 2: Der richtige Umgang, Löschfristen und Betroffenenrechte
Im ersten Teil unseres Blogs haben wir bereits eine Definition personenbezogener Daten und erste Grundlagen zur Verarbeitung beschrieben. Wir wissen also jetzt, was personenbezogene Daten sind und wann man diese verarbeiten darf.
In diesem Teil möchten wir von Datenschutzberater.NRW Ihnen Beispiele nennen, welche Pflichten Sie haben, wenn Sie mit personenbezogenen Daten arbeiten.
Betroffenenrechte als Tool des Datenschutzes
Im Datenschutz geht es darum, die personenbezogenen Daten (Definition) der Betroffenen zu schützen. Um das zu gewährleisten, wurden in der DS-GVO die sogenannten Betroffenenrechte eingeführt.
Zu diesen gehören unter anderem:
- Informationspflicht bei der Datenerhebung (Wann wurden welche Daten erhoben?)
- Auskunftsrecht (Welche Daten wurden erhoben?)
- Recht auf Berichtigung der Daten
- Recht auf Löschung
- Recht auf Datenübertragbarkeit
- Recht auf Widerruf
- Recht auf Vergessenwerden
Diese und weiterer Rechte sollen unter anderem gewährleisten, dass Daten nicht in unnötigem Maße, nicht unnötig lange und auch nicht falsch gespeichert werden. Alles in allem dienen diese Rechte der Betroffenen vor allem deren Schutz.
Alle Betroffenenrechte orientieren sich dabei durchaus auch an weiteren gesetzlichen Vorgaben, wie das Beispiel der Löschfristen zeigt.
Löschfristen nach DS-GVO
Wer mit personenbezogenen Daten arbeitet, der darf diese nicht nach Belieben aufbewahren. Nachdem er diese nach den Vorgaben der Datenschutzgrundverordnung (DS-GVO) erhoben hat, ist er verpflichtet bestimmte Löschfristen einzuhalten.
In der Regel orientieren sich diese an den gesetzlichen Aufbewahrungsfristen. Wenn die personenbezogenen Daten aufgrund gesetzlicher Vorgaben also nicht gelöscht werden dürfen, müssen Sie natürlich auch nach DS-GVO bestehen bleiben. Personenbezogene Daten dürfen darüber hinaus aber nur so lange aufgehoben werden, wie es für den Zweck, für den sie erhoben wurden, erforderlich ist.
Die Löschfrist beginnt erst mit dem Ende des Zwecks, für den die Daten erhoben wurden.
Die Löschung der Daten muss durch den Verantwortlichen automatisch passieren. Nicht selten kommt es vor, dass die Daten lange vergessen in einem Unternehmen gespeichert werden. Wenn dies der Aufsichtsbehörde bekannt wird, dann kann das (in der Vergangenheit nicht selten geschehen) zu empfindlichen Strafen für das Unternehmen führen. Achten Sie also darauf, dass Sie eine fristgerechte Löschung sicherstellen können.
Im Umkehrschluss bedeutet das für den Betroffenen aber auch, dass das Recht auf Löschung voraussetzt, dass die Daten aufgrund der gesetzlichen Regelungen überhaupt schon gelöscht werden können. Der Betroffene kann also nicht davon ausgehen, dass seine Daten automatisch gelöscht werden, wenn der Zweck für den sie erhoben wurden beendet ist.
Verzeichnis der Verarbeitungstätigkeiten (VVT) nach DS-GVO
Jeder, unabhängig von Größe und Branche, der personenbezogene Daten verarbeitet, muss ein sogenanntes Verzeichnis der Verarbeitungstätigkeiten führen. Dieses soll auf Grundlage der EU-Datenschutzgrundverordnung dokumentieren, bei welchen Tätigkeiten personenbezogene Daten verarbeitet werden.
Hier müssen alle Tätigkeiten aufgeführt werden, egal ob analog oder digital. Wie wir in diesem Zusammenhang schon öfter betont haben, gehört auch die richtige Datenvernichtung zu einer Tätigkeit, bei der personenbezogene Daten verarbeitet werden. (siehe dazu auch unseren Blog Datenvernichten aber richtig).
Was muss ein Verzeichnis der Verarbeitungstätigkeiten nach DS-GVO enthalten? Es gibt keine Vorgaben der Form für ein VVT nach DS-GVO, aber deren Inhalt ist klar definiert. Das Verarbeitungsverzeichnis muss durch den Verantwortlichen geführt werden und mindestens folgende Angaben für jede Verarbeitungstätigkeit enthalten:
- Name und Kontaktdaten des Verantwortlichen (welcher nicht der Datenschutzbeauftragte ist)
- Zwecke der Verarbeitung
- Beschreibung der Kategorie der Betroffenen
- Beschreibung der Kategorie der personenbezogenen Daten
- Kategorie des Empfängers der Daten
- Angaben zur Übermittlung der Daten in ein Drittland
- Löschfristen
- die Beschreibung der technisch-organisatorischen Maßnahmen (TOM)
Jedes Mal, wenn besondere Arten personenbezogener Daten (Definition personenbezogener Daten) verarbeitet werden oder wenn ein hohes Risiko auf Gefährdung der Daten eines Betroffenen vorliegt, muss eine Schwellwertanalyse (Risikoanalyse) durchgeführt werden, die das Risiko der Datenverarbeitung bewertet. Bei einem erhöhten Risiko für die Sicherheit des Betroffenen, beim Einsatz von neuen Technologien oder auch bei dauerhafter und umfangreicher Überwachung, sieht die DS-GVO eine Datenschutz-Folgenabschätzung vor.
Datenschutz-Folgenabschätzung nach DS-GVO
Die Datenschutz-Folgenabschätzung soll – wie der Name es schon ausdrückt – die Folgen für den Datenschutz beurteilen, die von der Verarbeitung der personenbezogenen Daten für den Betroffenen ausgeht, diese bewerten und festlegen, wie man das Risiko der Folgen minimiert. Hierbei muss genau und systematisch beschrieben werden, welche Risiken bei der Verarbeitung aufkommen können und wie diesen entgegengewirkt werden können. Hierbei stehen die Rechte und die Freiheit des Betroffenen im Vordergrund, die durch den Vorgang der Datenverarbeitung gefährdet werden können.
Ebenso sollte bewertet werden, welche Notwendigkeit für die Erhebung der Daten vorliegt und in welcher Verhältnismäßigkeit diese zum Zweck steht. Ist es also notwendig diese personenbezogenen Daten in diesem Umfang unter dem möglichen Risiko zu verarbeiten.
Technisch-organisatorische Maßnahmen (TOM) nach DS-GVO
Bei dem Verzeichnis der Verarbeitungstätigkeiten ist der Begriff der TOMs bereits gefallen. Aber was sind technisch-organisatorische Maßnahmen nach DS-GVO? Einfach gesagt, beschreiben diese, welche Maßnahmen getroffen werden, um die personenbezogenen Daten einer natürlichen Person und damit den Betroffenen selbst zu schützen.
Dabei kann es sich ganz einfach um abschließbare Schränke oder Büros handeln, in denen die Daten aufbewahrt werden. Es kann aber auch die IT-Sicherheit in einem Unternehmen betreffen, wenn die Daten, wie heute üblich, auf einem Server oder einer Cloud gespeichert werden (lesen Sie hierzu auch unseren Blog ADV-Verträge). Hier wird deutlich, wie nah Datenschutz und IT-Sicherheit zusammenhängen.
Der Verantwortliche für jedes Unternehmen muss durch diese technisch-organisatorischen Maßnahmen sicherstellen, dass die personenbezogenen Daten eines Betroffenen ausreichend geschützt sind. Die TOMs sind nach DS-GVO auch zu dokumentieren. Eine Dokumentation der technisch-organisatorischen Maßnahmen kann auch bei einer Datenpanne helfen, um zu belegen, dass alles Nötige getan wurde, um diese zu verhindern. TOMs müssen fortlaufend und regelmäßig geprüft und angepasst werden.
Der Datenschutz als Gesamtprojekt – Datenschutzmanagementsystem und Datenschutzbeauftragter
Der Datenschutz nach DS-GVO ist ein umfangreiches Unterfangen, bei dem man schnell den Überblick verlieren kann. Wenn man den Datenschutz aber konsequent und zielführend durchführen möchte, ist das Ziel ein umfangreiches und aussagekräftiges Datenschutzmanagementsystem. Im Datenschutzmanagementsystem kann der Verantwortliche alle für den Datenschutz notwendigen Prozesse gebündelt darstellen, dokumentieren und regelmäßig prüfen, sowie verbessern.
Das Datenschutzmanagementsystem ist nach DS-GVO verpflichtend für jeden, der personenbezogene Daten verarbeitet. Es umfasst unter anderem die bereits oben ausgeführten Schwerpunkte und gilt auch für die Aufsichtsbehörde als Anhaltspunkt für die Einhaltung des Datenschutzes.
Der Verantwortliche jedes Unternehmens, Vereins, jeder Praxis oder Kanzlei, aber auch Vermieter oder andere, die personenbezogene Daten verarbeiten, ist dafür zuständig, dass der Datenschutz eingehalten wird. Dabei kann ein (externer) Datenschutzbeauftragter helfen. Nach den Vorgaben der Datenschutzgrundverordnung ist die Ernennung eines (externen) Datenschutzbeauftragten unter bestimmten Voraussetzungen verpflichtend. Aber auch, wenn kein DSB bestellt werden muss, kann er eine Hilfe bei der Umsetzung der komplexen Anforderungen im Datenschutz sein.
Ein Datenschutzberater ist hierbei eine gute Lösung. Egal ob als externer Datenschutzbeauftragter, bei einer Datenschutz-Erstberatung oder einem Datenschutz-Audit – Datenschutzberater.NRW mit einem Team aus dem Bereich Datenschutz, IT-Sicherheit und Buchhaltung, hilft Ihnen gerne mit einem entsprechenden, praxisnahen und umsetzbaren Konzept weiter. Gerne betreuen wir Sie auch projektbezogen oder unterstützen Ihren Datenschutzbeauftragten bei seiner umfangreichen Arbeit.
Datenschutz und IT greifen untrennbar ineinander, daher bieten wir Ihnen gerne auch ein Konzept für Ihre IT-Sicherheit an (IT-Erstberatung oder IT-Sicherheit). Wir bieten Ihnen ebenfalls Lösungen für die Verfahrensdokumentation nach GoBD-Vorgaben.
Wir betreuen bereits erfolgreich Mandanten aus Köln, Bonn, Düsseldorf und ganz NRW.
Nehmen Sie einfach Kontakt mit uns auf.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.