Datenschutz ist Personenschutz
Daten sind zu minimieren nach der DSGVO, was bedeutet das?
Nennen sie Beispiele für Schulungsinhalte eines Datenschutzbeauftragten
-Rechtliche Grundlagen
Grundlagen der DSGVO und des Bundesdatenschutzgesetzes (BDSG)
Artikel 5 DSGVO – Grundsätze der Datenverarbeitung
Rechte der betroffenen Personen (z. B. Auskunft, Löschung, Berichtigung, Widerspruch)
Pflichten des Verantwortlichen und des Auftragsverarbeiters
-Organisatorischer Datenschutz
Erstellung und Pflege von Verarbeitungsverzeichnissen
Datenschutz-Folgenabschätzung (DSFA)
Meldung von Datenschutzverletzungen
Umgang mit Einwilligungen und Informationspflichten
-Technische und organisatorische Maßnahmen (TOMs)
Datensicherheit (Zugriffsschutz, Verschlüsselung, Passwortrichtlinien)
Lösch- und Aufbewahrungsfristen
Pseudonymisierung und Anonymisierung
Wesentliche Beteiligten
Das Bild zeigt eine Übersicht der wesentlichen Beteiligten im Rahmen der Datenschutz-Grundverordnung (DS-GVO) (engl. General Data Protection Regulation, GDPR). Es verdeutlicht, welche Akteure in der Praxis an der Umsetzung und Einhaltung der DS-GVO beteiligt sind und wie sie miteinander in Beziehung stehen.
Hier ist die Erklärung der einzelnen Elemente:
Der „Verantwortliche“ (engl. Controller) ist die zentrale Figur der DS-GVO. Er entscheidet über Zwecke und Mittel der Datenverarbeitung (also warum und wie Daten verarbeitet werden).
Pflichten:
Umsetzung der DS-GVO im Unternehmen
Rechenschaftspflicht (Art. 5 Abs. 2 DS-GVO)
Information der betroffenen Personen
ggf. Benennung eines Datenschutzbeauftragten
Ein „Auftragsverarbeiter“ (engl. Processor) verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen (z. B. ein Cloud-Dienstleister oder IT-Dienstleister). Das Verhältnis ist vertraglich geregelt nach Art. 28 DS-GVO.
Mehrere Stellen können gemeinsam verantwortlich sein (Art. 26 DS-GVO), wenn sie gemeinsam über Zwecke und Mittel entscheiden (z. B. gemeinsame Plattform von zwei Unternehmen). Sie müssen vertraglich festlegen, wer welche Pflichten übernimmt.
Der oder die Datenschutzbeauftragte (DSB) wird vom Verantwortlichen benannt, wenn bestimmte Voraussetzungen erfüllt sind (z. B. umfangreiche Datenverarbeitung). Aufgaben nach Art. 39 DS-GVO:
Überwachung der Einhaltung der DS-GVO
Beratung des Unternehmens
Zusammenarbeit mit der Aufsichtsbehörde
Diese Rolle ist freiwillig (im Bild steht „keine Pflicht“). Sie unterstützt intern die praktische Umsetzung der DS-GVO, insbesondere:
Verzeichnis der Verarbeitungstätigkeiten
Datenschutz-Folgenabschätzung
Datenschutzkonzept
Technische und organisatorische Maßnahmen (T.O.M.)
Diese Behörden überwachen die Einhaltung der DS-GVO und können Sanktionen verhängen (Bußgelder, Anordnungen). Sie stehen in Kontakt mit dem Verantwortlichen und Datenschutzbeauftragten.
Das sind die Personen, deren Daten verarbeitet werden (z. B. Beschäftigte, Kund:innen, Bürger:innen). Sie haben Rechte nach Art. 12 ff. DS-GVO, u. a.:
Auskunftsrecht
Recht auf Löschung
Recht auf Berichtigung
Recht auf Widerspruch
Dieser spielt eine Rolle bei der Mitbestimmung, wenn Daten von Beschäftigten verarbeitet werden. Er kann also beim Datenschutz im Beschäftigungskontext mitwirken.
Verantwortlicher ↔ Aufsichtsbehörde: Unterliegt deren Kontrolle
Verantwortlicher ↔ Betroffene Personen: Muss deren Rechte gewährleisten
Verantwortlicher ↔ Auftragsverarbeiter: Vertragliche Regelung
Verantwortlicher ↔ Datenschutzbeauftragte(r): Benennung und Zusammenarbeit
Verantwortlicher ↔ Datenschutzkoordinator:in: interne Unterstützung
Verantwortlicher ↔ Gemeinsam Verantwortliche: gemeinsame Regelung nach Art. 26
IFG / IZG
IFG und IZG sind Abkürzungen für Gesetze, die den Zugang zu amtlichen Informationen regeln – also das Gegenteil der Datenschutz-Grundverordnung (DSGVO). Während die DSGVO den Schutz personenbezogener Daten sicherstellt, schaffen IFG und IZG Transparenzpflichten gegenüber der Öffentlichkeit. Hier die Begriffe im Detail:
Bundesgesetz (Informationsfreiheitsgesetz, kurz IFG)
Gilt für Bundesbehörden und gewährt Bürger:innen ein Recht auf Zugang zu amtlichen Informationen.
Ziel: Transparenz staatlichen Handelns und Kontrolle der Verwaltung durch die Öffentlichkeit.
Beispiel: Eine Person kann bei einem Bundesministerium Einsicht in interne Gutachten oder Akten beantragen (sofern keine Ausnahmetatbestände greifen, z. B. Datenschutz oder Betriebsgeheimnisse).
Entsprechende Landesgesetze heißen meist IZG (Informationszugangsgesetz) oder LIFG (Landesinformationsfreiheitsgesetz).
Sie regeln auf Länderebene den Zugang zu Informationen bei Landes- und Kommunalbehörden.
Inhaltlich ähnlich zum IFG des Bundes, aber mit landesspezifischen Regelungen.
DSGVO (Datenschutz-Grundverordnung): schützt personenbezogene Daten vor unbefugter Verarbeitung.
IFG / IZG: gewähren Informationszugang zu amtlichen Dokumenten, auch wenn diese personenbezogene Daten enthalten können.
→ Konfliktpotenzial: Wenn jemand nach IFG/IZG Informationen anfordert, müssen Behörden abwägen zwischen:
Transparenzinteresse der Öffentlichkeit (Informationsfreiheit)
Datenschutzinteresse der betroffenen Person (DSGVO)
In der Praxis heißt das: Behörden dürfen Informationen nur dann herausgeben, wenn keine personenbezogenen Daten unzulässig offengelegt werden – oder wenn diese anonymisiert bzw. geschwärzt werden.
Datenschutz ist Personenschutz, was heißt das?
Wesentlichen Beteiligten im Rahmen der DS-GVO
Aufgabe des Beteiligten
Person, deren personenbezogene Daten verarbeitet werden.
Wahrnehmung der Betroffenenrechte nach Art. 12 ff. DSGVO, z. B.:
Recht auf Auskunft
Recht auf Löschung („Recht auf Vergessenwerden“)
Recht auf Datenübertragbarkeit
Widerspruchsrecht gegen bestimmte Verarbeitungen
Aufgabe des Personalrat / Betriebsrat
Vertretung der Beschäftigten innerhalb eines Unternehmens oder einer Behörde
Verantwortlicher
Natürliche oder juristische Person, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet (z.B. ein Unternehmen, eine Behörde oder Organisation)
Aufgaben Gesamtverantwortung: Einhaltung der DSGVO
Transparente Information der Betroffenen
Sicherstellung geeigneter technischer und organisatorischer Maßnahmen (TOMs)
Dokumentationspflichten
Benennt ggf. einen Datenschutzbeauftragten
Aufsichtsbehörde
Unabhängige staatliche Stellen, die die Einhaltung der DSGVO überwachen (z.B. Landesdatenschutzbeauftragte)
Aufsicht und Kontrolle der Verantwortlichen und Auftragsverarbeiter
Erlass von Aufsichtsmaßnahmen
Beratung und Sensibilisierung von Verantwortlichen und Betroffenen
Datenschutzbeauftragte(r)
Unabhängige Ansprechperson im Unternehmen oder in der Behörde, die über Datenschutzfragen berät und überwacht.
Information und Beratung des Verantwortlichen und der Beschäftigten
Überwachung der Einhaltung der DSGVO
Beratung bei Datenschutz-Folgeabschätzungen
Anlaufstelle für Betroffene
Datenschutzkoordinator:in
Interne Funktion (freiwillig, keine gesetzliche Pflicht), um die pratische Umsetzung der DSGVO sicherzustellen.
Wird häufig in größeren Organisationen zusätzlich zur*m Datenschutzbeauftragten eingesetzt.
Aufgaben:
Unterstützung bei der operativen Umsetzung der DSGVO, z.B.
Führen des Verzeichnisses der Verarbeitungstätigkeiten
Durchführung oder Koordination von Datenschutz-Folgeabschätzungen
Entwicklung und Pflege eines Datenschutzkonzepts
Umsetzung und Kontrolle der technischen und organisatorischen Maßnahmen (TOMs)
Auftragsverarbeiter
Verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen (z.B. IT-Dienstleister, Cloud-Anbieter)
Verarbeitet nur auf dokumentierte Weisung des Verantwortlichen (Art. 28 DSGVO)
Abschluss eines Auftragsverarbeitungsvertrags (AVV)
Unterstützung des Verantwortlichen bei der Erfüllung von Pflichten (z.B. Datensicherheit, Löschung)
Gemeinsam Verantwortliche
Zwei oder mehr Stellen bestimmten gemeinsam die Zwecke und Mittel der Datenschutzverarbeitung (Art. 26 DSGVO)
Abschluss einer Verinbarung über gemeinsame Verantwortlichkeit
Klare Aufteilung der Zuständigkeiten (wer informiert Betroffene, wer bearbeitet Anfrage etc.)
Transparente Information der Betroffenen über die Zusammenarbeit
Zuletzt geändertvor einem Monat
