Häufig gestellte Fragen zum Datenschutz

Die seit 2018 geltenden Datenschutzvorschriften (EU-Datenschutz-Grundverordnung (DSGVO)) und das neue Bundesdatenschutzgesetz (BDSG)) sind von allen Unternehmen umzusetzen, die
a) entweder ihren Sitz in der EU haben oder die personenbezogene Daten von EU-Bürger*innen verarbeiten und
b) ganz oder teilweise automatisierte personenbezogener Daten verarbeiten oder die nicht automatisierte Verarbeitung personenbezogener Daten betreiben, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Im Folgenden finden Sie Antworten auf häufig gestellte Fragen sowie viele nützliche Checklisten und Musterverträge.

Was muss ich als Unternehmen für die Umsetzung tun?

Speziell für Kleinunternehmer finden sie zusätzliche Checklisten beim LDA Bayern nach Branchen (z.B. Einzelhandel, Online-Shop, Produktionsbetrieb) geordnet.

Wo finde ich Praxishilfen zur Umsetzung der DSGVO?

Die unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz - DSK) haben zur ersten Orientierung wichtige Kurzpapiere dazu herausgegeben, wie die DSGVO praktisch angewendet werden sollte. Diese Kurzpapiere finden Sie auf den Internetseiten der Niedersächsischen Landesbeauftragten für den Datenschutz zum Download als PDF.
Weitere hilfreiche Praxishilfen (u.a. Musterverträge, Vorlagen zur Einwilligung und Vertraulichkeitsverpflichtungen) finden Sie auf den Internetseiten der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) und in den folgenden Abschnitten dieses Artikels.

Welche Rechtsgrundlagen zur Verarbeitung personenbezogener Daten gibt es?

Art. 6 DSGVO enthält einen abschließenden Katalog von Rechtsgrundlagen, nach denen eine Verarbeitung rechtmäßig ist. Wichtigste Rechtsgrundlagen sind die Einwilligung, die Erfüllung eines Vertrages, rechtliche Verpflichtungen sowie berechtigte Interessen des Verantwortlichen. Die Erfüllung einer Rechtsgrundlage ist ausreichend. Verarbeiten Sie zum Beispiel Daten ausschließlich zum Zweck der Erfüllung von Verträgen, ist eine weitere Einwilligung in der Regel nicht notwendig.
Wollen Sie personenbezogene Daten über die Vertragserfüllung hinaus z.B. für eine dauerhafte Kundenkartei, einen Online-Account oder für werbliche Zwecke verarbeiten, benötigen Sie die Einwilligung der betroffenen Person. Die Einwilligung kann schriftlich oder elektronisch erfolgen und muss protokolliert werden. Eine Einwilligungserklärung könnte z.B. lauten: "Ich willige in die Verarbeitung meiner personenbezogenen Daten (zur Eröffnung eines Online-Kontos/zum Newsletter-Versand/...) ein. Diese Einwilligung kann ich jederzeit für die Zukunft widerrufen." Die Gegenleistung darf nicht an die Einwilligung gebunden werden (Kopplungsverbot).
Werden mehrere Rechtsgrundlagen erfüllt (z.B. Vertragserfüllung und rechtlich verpflichtende Aufbewahrungsfristen nach dem Steuer- und Handelsrecht) und entfällt später eine dieser Grundlagen, so ist die Verarbeitung auch auf die Erfüllung dieser Pflichten zu beschränken.

Gibt es Vorlagen für das erforderliche Verzeichnis der Verarbeitungstätigkeiten?

Ja, eine unter den Datenschutzbehörden abgestimmte Vorlage für Verantwortliche, die den Anforderungen des Art. 30 DSGVO entspricht, finden sie hier: Verzeichnis von Verarbeitungstätigkeiten. Eine Vorlage für Auftragsverarbeiter ist ebenfalls verfügbar. Zusätzlich bietet das LDA Bayern Beispielverzeichnisse für ausgewählte Unternehmensbranchen an.

Wie erfülle ich die neuen Informationspflichten?

Werden personenbezogene Daten erhoben, ist dem Betroffenen noch vor der Verarbeitung gemäß Art. 13 DSGVO eine Liste grundlegender Informationen zur Verfügung zu stellen. Dies gilt bei Vertragsschluss vor Ort und auch im Internet.
Den Umfang der Informationspflichten können Sie unserer Checkliste zur Datenschutzerklärung (nicht barrierefrei, PDF-Datei · 205 KB) und dem Kurzpapier Nr. 10 entnehmen.
Bei der Verarbeitung personenbezogener Daten auf Ihrer Website (z.B. per Kontaktformular, Cookies, Zugriffsprotokollierung oder Benutzerkonto) müssen Sie gegenüber dem Besucher diese Informationen noch vor der Verarbeitung erfüllen. Kostenlose Generatoren für Mustererklärungen bieten zum Beispiel eRecht24, activeMind oder Trusted Shops an.

Was ist Auftragsverarbeitung und gibt es Vorlagen für Verträge?

Auftragsverarbeitung liegt vor, wenn eine dritte Stelle personenbezogene Daten im Auftrag (d.h. unter Weisung) des Verantwortlichen verarbeitet. Informationen und Beispiele finden Sie im Kurzpapier Nr. 13. Vertragsvorlagen bietet u.a. die GDD e.V. an. Viele größere Unternehmen wie Webhoster bieten eigene Vertragsvorlagen in ihren Hilfebereichen zum Download an.

Welche Unternehmen müssen einen betrieblichen Datenschutzbeauftragten bestellen?

Seit dem 25. Mai 2018 müssen in der Regel nur Unternehmen ab einer bestimmten Größe einen Datenschutzbeauftragten (DSB) bestellen. Die Regelung dazu findet sich in § 38 BDSG. Danach muss ein Datenschutzbeauftragter von Unternehmen bestellt werden, die in der Regel mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.
Unabhängig von der Anzahl der Beschäftigten müssen Unternehmen einen DSB bestellen, wenn
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen,
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 (z.B. Gesundheitsdaten) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht oder
  • die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln,

Welche Voraussetzungen muss ein betrieblicher Datenschutzbeauftragter erfüllen?

Antworten auf häufige Fragen zu den Anforderungen an betriebliche Datenschutzbeauftragte finden Sie in unserem Artikel "Der betriebliche Datenschutzbeauftragte" und im Kurzpapier Nr. 12.

Wie finde ich externe betriebliche Datenschutzbeauftragte?

Externe Datenschutzbeauftragte finden Sie beispielsweise über den Berufsverband der Datenschutzbeauftragten Deutschlands e.V. (BvD) oder über die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD).

Was ändert sich im Beschäftigtendatenschutz?

Der neu geltende § 26 BDSG deckt sich inhaltlich weitgehend mit dem alten Recht. Wir haben Ihnen einen Artikel mit Antworten auf wichtige Fragen zum Beschäftigtendatenschutz zusammengestellt. Dort finden Sie auch ein Prüfschema für Betriebsvereinbarungen und eine Muster-Verpflichtungserklärung für Beschäftigte.