Merkblatt zur Verpflichtungserklärung |
Dieses Merkblatt soll Ihnen einen Überblick über die einzuhaltenden datenschutzrechtlichen Vorschriften geben. Die Darstellung ist nicht vollständig. Sollten Sie sich in Bezug auf die Einhaltung datenschutzrechtlicher Vorschriften nicht sicher sein, wenden Sie sich bitte an Ihren Vorgesetzten. Weiter enthält dieses Merkblatt Auszüge aus den einschlägigen Bußgeld- und Strafvorschriften.
EINZUHALTENDE DATENSCHUTZRECHTLICHE VORSCHRIFTEN:
Dabei handelt es sich um alle Informationen, die sich auf eine identifizierte oder dadurch identifizierbare natürliche Person (Betroffener) beziehen. Identifizierbar ist eine natürliche Person, die direkt oder indirekt mittels Zuordnung zu einer Kennung, wie z. B. dem Namen identifiziert werden kann. Die personenbezogenen Informationen beziehen sich auf physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Merkmale einer natürlichen Person.
Damit sind personenbezogene Daten alle Informationen, über die ein Personenbezug hergestellt werden kann. Beispiele hierfür sind: Name, Anschrift, IP-Adresse, Telefonnummer, Kreditkarten- oder Personalnummern, Kontodaten, Kfz-Kennzeichen, Aussehen, Kundennummer oder Arbeitszeiten.
Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)
Zu den besonderen Kategorien personenbezogener Daten gehören Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen. Ebenso fallen darunter genetische und biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.
"Verarbeitung" meint jeden Vorgang, bei dem mit oder ohne Hilfe automatisierter Verfahren personenbezogene Daten bearbeitet werden. Darunter fallen das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung personenbezogener Daten.
Personenbezogene Daten dürfen nur für festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden. Änderungen des Verarbeitungszwecks sind nur erlaubt, wenn dies mit dem ursprünglichen Erhebungszweck vereinbar ist.
Die Verarbeitung muss auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise erfolgen (Transparenzprinzip). Aus dem Transparenzprinzip resultieren Informationspflichten für den Verarbeiter. So ist der Betroffene darüber zu informieren, wie seine personenbezogenen Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden und in welchem Umfang die personenbezogenen Daten verarbeitet werden und künftig noch verarbeitet werden.
Die Verarbeitung personenbezogener Daten hat in der Weise zu erfolgen, dass eine angemessene Sicherheit der personenbezogenen Daten gewährleistet ist, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen.
Wann ist die Verarbeitung personenbezogener Daten zulässig?
Grundsätzlich ist die Verarbeitung personenbezogener Daten unzulässig, wenn nicht ein Rechtfertigungsgrund vorliegt. Rechtfertigungsgründe können sein, dass
- die Verarbeitung personenbezogener Daten gesetzlich vorgeschrieben ist (Beispiel: Abführung der Lohnsteuer und Sozialabgaben bei der Gehaltsabrechnung);
- ein Vertragsverhältnis besteht oder angebahnt werden soll (Beispiel: Mietvertrag oder die Bewerbung um eine Wohnung);
- ein berechtigtes Interesse an der Verarbeitung besteht (Beispiel: Bonitätsabfrage bei einer Auskunftei über einen Mietinteressenten oder Weitergabe von Mieterdaten an Handwerker);
- eine Einwilligung des Betroffenen vorliegt (ausdrückliche Genehmigung einer Verarbeitung durch den Betroffenen).
Wann ist die Weitergabe personenbezogener Daten zulässig?
Analog zu den vorstehenden Ausführungen ist die Weitergabe personenbezogener Daten nur zulässig, wenn eine Rechtsgrundlage besteht.
Bei der Auskunft gegenüber Dritten – telefonisch, schriftlich oder per Textform – ist zudem die Identität des Anfragenden sicherzustellen, sodass verhindert wird, dass personenbezogene Daten unbefugten Personen offengelegt werden.
AUSZÜGE AUS DEN BUSSGELD- UND STRAFVORSCHRIFTEN:
(1) Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den ...