Willkommen beim DSGVO-Tool der invention GmbH

Mit diesem DSGVO-Tool stellen Ihnen die Datenschutzexperten der invention GmbH ein kostenloses, leicht zu nutzendes Werkzeug zur Verfügung, mit welchem Sie schnell Begriffe und Bestimmungen der DSGVO nachschlagen können, ohne jedesmal den originären Gesetzestext lesen und analysieren zu müssen. Klicken Sie innerhalb der Seite auf die einzelnen hervorgehobenen Überschriften um die darunterliegenden Erklärungsblöcke ein- oder auszuklappen.

Sehen Sie dieses DSGVO-Tool als Textreferenz, Nachschlagewerk und Lernhilfe sowohl für den Neuling als auch für den erfahrenen Praktiker. Beachten Sie bitte, dass es sich hierbei um eine redaktionelle Zusammenfassung des Gesetzestextes nach Maßgabe des Verfassers handelt, und insbesondere keine Rechtsberatung oder legitime Rechtsquelle darstellt.

Wir freuen uns jederzeit über Feedback, solange es konstruktiv ist. Die Inhalte werden kontinuierlich erweitert und stetig verbessert. 

Grundsätze der Verarbeitung

Verarbeitung

Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise (Transparenz) verarbeitet werden.

Erhebung

Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und die Verarbeitung darf diesen Zwecken nicht zuwiderlaufen.

Datenminimierung

Die Verarbeitung muss dem Zweck angemessen und erheblich sowie auf das für die Verarbeitungszwecke notwendige Maß beschränkt sein.

Richtigkeit

Personenbezogene Daten müssen sachlich richtig und auf dem aktuellen Stand sein und außerdem müssen unrichtige Daten unverzüglich gelöscht oder berichtigt werden.

Speicherbegrenzung (zeitlich)

Personenbezogene Daten dürfen nur in einer Form gespeichert werden, welche die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Verarbeitungszwecke erforderlich ist.

Integrität und Vertraulichkeit

Eine angemessene Sicherheit der personenbezogenen Daten muss gewährleistet sein, einschließlich dem Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung.

Begriffsbestimmungen

Personenbezogene Daten

Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

–Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt identifiziert werden kann. 
Die Zuordnung erfolgt zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten,
zu einer Online-Kennung. Besondere Merkmale können außerdem Ausdruck der physischen, physiologischen,
genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sein.

Verarbeitung

Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten.

Beispiele: Erheben, Erfassen, Organisation, Ordnen, Speicherung, Anpassung, Veränderung, Auslesen, Abfragen, Verwendung, Offenlegung, Abgleich, Verknüpfung, Einschränkung, Löschen, Vernichtung

Einschränkung der Verarbeitung

Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken.

Profiling

Jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten.

Beispiele: Analysieren oder vorhersagen von Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel

Pseudonymisierung

Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können.

Zusätzliche Informationen dürfen gesondert aufbewahrt werden, wenn sie technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten dieser Person nicht zugewiesen werden.

Dateisystem

Jede strukturierte Sammlung personenbezogener Daten.

Strukturiert ist eine Sammlung, wenn sie nach bestimmten Kriterien zugänglich ist. Unerheblich ist dabei, ob sie zentral, dezentral oder funktional geordnet ist.

Verantwortlicher

Die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Auftragsverarbeiter

Eine natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Empfänger

Eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, denen personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht.

Behörden stellen keine Empfänger im Sinne der DSGVO dar, wenn sie im Rahmen eines bestimmten Untersuchungsauftrags möglicherweise personenbezogene Daten erhalten. Hierzu existieren spezielle Regelungen.

Dritter

Eine natürliche oder juristische Person, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.

Einwilligung

Jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Rechtmäßigkeit der Datenverarbeitung

Die Verarbeitung personenbezogener Daten ist rechtmäßig, wenn eine der folgenden Bedingungen zutrifft:
∙Die betroffene Person hat ihre Einwilligung hierzu gegeben.
∙Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen.
∙Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt.
∙Die Verarbeitung ist erforderlich, um lebenswichtige Interessen zu schützen.
∙Die Verarbeitung liegt im öffentlichen Interesse oder erfolgt in Ausübung dem Verantwortlichen übertragener öffentlicher Gewalt.
∙Die Verarbeitung ist zur Wahrung der berechtigten Interessen erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen, insbesondere bei Kindern.

Anm. des Verfassers: Es ist unter Fachleuten strittig, ob eine gegebene Einwilligung, welche sich als rechtswidrig herausstellt, durch z.B. das berechtigte Interesse heilen lässt. Der Wortlaut der Verordnung gibt dies nach unserer Auffassung zwar nicht her, allerdings existieren (auch im deutschen Recht) genügende Parallelen, die eine solche Auslegung rechtfertigen würden.

Weiterverarbeitung

Erfolgt die Verarbeitung zu einem anderen Zweck als ursprünglich vorgesehen, und die betroffene Person hat hierzu nicht eingewilligt, und sie beruht auch nicht auf einer Rechtsvorschrift, stellt der Verantwortliche sich – um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist – unter anderem die nachfolgenden Fragen:
∙Besteht eine Verbindung zwischen dem ursprünglichen Zweck und dem Zweck der Weiterverarbeitung?
∙Besteht ein Ungleichgewicht der Interessen der betroffenen Person und dem Verantwortlichen?
∙Werden besondere Kategorien personenbezogener Daten oder strafrechtlich relevante Daten (Verurteilungen) verarbeitet?
∙Welche Folgen hat die Weiterverarbeitung für die betroffene Person?
∙Existieren geeignete Garantien bei der Weiterverarbeitung, wie z.B. Pseudonymisierung oder Verschlüsselung?

Einwilligung

Nachweispflicht des Verantwortlichen

Der Verantwortliche muss nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten
eingewilligt hat.

Mehrere Sachverhalte (i.w.S. Zwecke)

Erfolgt die Einwilligung schriftlich für mehrere Sachverhalte, so muss die vorgelegte Einwilligungserklärung verständlich, leicht zugänglich, in einer klaren und einfachen Sprache verfasst sein und es muss jeder einzelne Sachverhalt klar zu unterscheiden sein.

Jederzeitiges Widerrufsrecht

Die betroffene Person hat das Recht, ihre Einwilligung jederzeit für die Zukunft zu widerrufen und muss über diese Möglichkeit vor Abgabe der Einwilligung in Kenntnis gesetzt werden. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.

Freiwilligkeit der Einwilligung

Die Freiwilligkeit der Einwilligung wird immer auch daran gemessen, ob für einem Vertragsabschluss o.ä. die Einwilligung in die Verarbeitung personenbezogener Daten überhaupt notwendig ist.

Einwilligung von Kindern ab 16 Jahren

Macht das Kind eine Einwilligung über das Internet direkt, so ist die Verarbeitung rechtmäßig, wenn das Kind das sechzehnte Lebensjahr vollendet hat.

Einwilligung von Kindern unter 16 Jahren

Macht das Kind eine Einwilligung über das Internet direkt und hat noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung nur rechtmäßig, wenn der Verantwortliche, unter Berücksichtigung der verfügbaren Technik, sich vergewissert, dass die Einwilligung durch den Erziehungsberechtigten oder mit dessen Zustimmung erteilt wurde.

Besondere Kategorien personenbezogener Daten

Generell untersagte Verarbeitung

Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.

Einwilligung

Das Verbot gilt nicht, wenn die betroffene Person in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt hat.

Arbeits-/Sozialrecht

Das Verbot gilt nicht, wenn die Verarbeitung erforderlich ist, damit aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsende Rechte ausgeübt und den diesbezüglichen Pflichten nachgekommen werden kann.

Gesundheitsvorsorge und Arbeitsmedizin

Das Verbot gilt nicht, wenn die Verarbeitung für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich erforderlich ist.

Medizinische (Not)Fälle

Das Verbot gilt nicht, wenn die Verarbeitung zum Schutz lebenswichtiger Interessen erforderlich ist und die betroffene Person aus körperlichen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben.

Partei, Gewerkschaft, Kirche

Das Verbot gilt nicht, wenn die Verarbeitung auf der Grundlage geeigneter Garantien durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung, dass sich die Verarbeitung ausschließlich auf die Mitglieder oder ehemalige Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die personenbezogenen Daten nicht ohne Einwilligung der betroffenen Personen nach außen offengelegt werden, erfolgt.

Selbst veröffentlichte Daten

Das Verbot gilt nicht, wenn die Verarbeitung sich auf personenbezogene Daten bezieht, die die betroffene Person offensichtlich öffentlich gemacht hat.

Rechtsschutz

Das Verbot gilt nicht, wenn die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich ist.

Transparenzgebot

Informationspflicht

Der Verantwortliche informiert die betroffene Person über alle Vorgänge, die sich auf die Verarbeitung beziehen.

Die Information erfolgt in präziser, transparenter, verständlicher und leicht zugänglicher Form, in einer klaren und einfachen Sprache, insbesondere bei Kindern. Die Übermittlung der Informationen kann schriftlich, gegebenenfalls auch elektronisch oder falls von der betroffenen Person gewünscht auch mündlich erfolgen.

Keine Behinderung

Der Verantwortliche erleichtert der betroffenen Person die Ausübung ihrer Rechte. Er darf sich nur dann weigern tätig zu werden, wenn er glaubhaft macht, dass er nicht in der Lage ist, die betroffene Person zu identifizieren.

Monatsfrist

Der Verantwortliche stellt der betroffenen Person Informationen über die ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies erforderlich ist und er die betroffene Person innerhalb eines Monats über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung und über die Möglichkeit, bei einer Aufsichtsbehörde Beschwerde einzulegen oder einen gerichtlichen Rechtsbehelf einzulegen, unterrichtet.

Unentgeltlichkeit

Alle Mitteilungen und Maßnahmen werden unentgeltlich zur Verfügung gestellt.

Bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholungexzessiven Anträgen einer betroffenen Person kann der Verantwortliche entweder ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten berücksichtigt werden, oder sich weigern, aufgrund des Antrags tätig zu werden, wobei er den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen hat.

Informationspflicht bei Direkterhebung

Fehlende Notwendigkeit

Die Regelungen über die Informationspflicht bei Direkterhebung finden keine Anwendung, wenn und soweit die betroffene Person bereits über die Informationen verfügt. Eine Information der betroffenen Person ist dann nicht mehr notwendig.

Information bei Datenerhebung

Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters, ggf. die Kontaktdaten des Datenschutzbeauftragten, die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung, ggf. die berechtigten Interessen, ggf. die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und gegebenenfalls die Absicht der Übermittlung in ein Drittland oder an eine internationale Organisation mit.

Zusätzliche Informationen

Zusätzlich stellt der Verantwortliche der betroffenen Person die Dauer der Datenspeicherung oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer, das Bestehen eines Rechts auf Auskunft, auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts sowie des Rechts auf Datenübertragbarkeit, bei Berufung auf berechtigtes Interesse seitens des Verantwortlichen, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde, ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person bereit.

Weiterverarbeitung

Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck zur Verfügung.

Bereiche

Die Datenschutzexperten