Pflichten der Verantwortlichen und Auftragsverarbeiter

In dieser Lerneinheit erfährst du, welche konkreten Pflichten Unternehmen und Auftragsverarbeiter beim Umgang mit personenbezogenen Daten haben. Du lernst die Prinzipien von Privacy by Design und Privacy by Default kennen und verstehst, wie Datenschutz bereits bei der Planung und Entwicklung von IT-Systemen berücksichtigt werden muss. Die Inhalte helfen dir dabei, datenschutzkonforme technische Lösungen zu entwickeln und Prozesse nach den gesetzlichen Vorgaben zu gestalten.

Einführung

1,2 Milliarden Euro. Das ist die höchste Geldbuße, die je unter der DSGVO gegen ein einziges Unternehmen verhängt wurde. Der Grund für diese Rekordstrafe gegen Meta war keine spektakuläre Hacker-Attacke, sondern die systematische und unrechtmäßige Übermittlung von Nutzerdaten in die USA. Solche grundlegenden Fehler können nicht nur extrem teuer werden, sondern zerstören auch das Vertrauen von Kunden nachhaltig.

Wie stellst du also sicher, dass dein Unternehmen nicht in eine solche Falle tappt und die Daten deiner Nutzerinnen und Nutzer wirklich sicher sind?

Die Antwort auf diese Frage beginnt nicht erst dann, wenn ein Problem bereits entstanden ist, sondern viel früher. Der wirksamste Schutz vor Datenschutzpannen und hohen Strafen besteht darin, die Risiken von vornherein zu minimieren. Es geht darum, den Datenschutz nicht als nachträgliche Pflicht zu sehen, sondern als festen Bestandteil bei der Entwicklung von Anfang an.

Lernziele

Nach dieser Lerneinheit kannst du:

  1. Die Prinzipien “Privacy by Design” und “Privacy by Default” erklären und deren Umsetzung anhand von praktischen Beispielen erläutern.
  2. Die Notwendigkeit und die wesentlichen Inhalte eines Verarbeitungsverzeichnisses benennen.
  3. Beurteilen, wann eine Datenschutz-Folgenabschätzung (DSFA) erforderlich ist, und deren Hauptbestandteile beschreiben.
  4. Das korrekte Vorgehen bei einer Datenschutzverletzung skizzieren und die zentralen Aufgaben eines Datenschutzbeauftragten (DSB) definieren.

Datenschutz durch Technikgestaltung

Ein Grundsatz der DSGVO ist, dass du den Datenschutz bereits bei der Konzeption und Entwicklung von Produkten, Systemen und Dienstleistungen berücksichtigst. Dieses Prinzip wird als Privacy by Design bezeichnet. Ziel ist es, Datenschutzrisiken präventiv zu vermeiden, anstatt sie nachträglich zu beheben.

Dafür solltest du von Beginn an folgende Prinzipien umsetzen:

  • Datenminimierung: Erhebe und verarbeite nur die personenbezogenen Daten, die für den festgelegten Zweck zwingend erforderlich sind.
  • Verschlüsselung und Pseudonymisierung: Setze technische Schutzmechanismen ein, um personenbezogene Daten zu sichern und die Risiken bei einem möglichen Datenabfluss zu reduzieren.
  • Zugriffskontrollen: Implementiere Systeme, die sicherstellen, dass ausschließlich berechtigte Personen auf die personenbezogenen Daten zugreifen können.
  • Transparenz: Sorge dafür, dass betroffene Personen frühzeitig, klar und umfassend über die Verarbeitung ihrer Daten informiert werden.
  • Sicherheitsmaßnahmen: Integriere von Anfang an technische und organisatorische Maßnahmen, um die Daten gegen unbefugten Zugriff, Verlust oder Manipulation zu schützen.
  • Ende-zu-Ende-Schutz und Rechenschaftspflicht: Gewährleiste den Schutz der Daten über ihren gesamten Lebenszyklus und dokumentiere alle ergriffenen Maßnahmen nachvollziehbar.

Datenschutzfreundliche Voreinstellungen

Eng damit verbunden ist das Prinzip Privacy by Default. Es fordert, dass die Voreinstellungen eines Produkts oder Dienstes immer die datenschutzfreundlichste Option bieten, ohne dass die Nutzerinnen und Nutzer selbst aktiv werden müssen.

  • Opt-in statt Opt-out: Für jegliche Datenverarbeitung, die über den Kernzweck hinausgeht, müssen Nutzende ihre aktive und freiwillige Zustimmung geben.
  • Tracking und Analysefunktionen: Diese Funktionen müssen standardmäßig deaktiviert sein und dürfen erst nach bewusster Einwilligung der nutzenden Person aktiviert werden.
  • Beschränkte Datenweitergabe: Eine Weitergabe von Daten an Dritte darf standardmäßig nicht erfolgen, sondern nur mit ausdrücklicher Zustimmung.
  • Automatische Löschung: Daten, die nicht mehr benötigt werden, müssen nach vordefinierten Fristen automatisch gelöscht werden.
  • Datenminimierung als Standard: In der Standardeinstellung werden nur die Daten verarbeitet, die für die Funktion des Dienstes unbedingt notwendig sind.

Anwendungsbeispiel:
Bei der Entwicklung einer neuen App stellst du sicher, dass nur die Daten erhoben werden, die für die Kernfunktion unerlässlich sind. Funktionen wie Standortfreigabe oder Nutzungsanalyse sind in den Voreinstellungen deaktiviert. Erst wenn die nutzende Person aktiv zustimmt, werden diese zusätzlichen Daten erhoben. Alle sensiblen Informationen werden zudem durchgehend verschlüsselt gespeichert und übertragen.

Führen eines Verarbeitungsverzeichnisses (Art. 30 DSGVO)

Du bist verpflichtet, ein Verarbeitungsverzeichnis zu führen, sobald du regelmäßig personenbezogene Daten verarbeitest. Dies gilt insbesondere, wenn die Verarbeitung nicht nur gelegentlich stattfindet oder sensible Daten umfasst. In diesem Dokument wird lückenlos festgehalten, welche Daten für welchen Zweck, auf welcher Rechtsgrundlage, wie lange und mit welchen Schutzmaßnahmen verarbeitet werden.

Das Verzeichnis muss folgende Angaben enthalten:

  • Namen und Kontaktdaten der Verantwortlichen, ihrer Vertreter und des Datenschutzbeauftragten.
  • Die konkreten Zwecke jeder einzelnen Verarbeitungstätigkeit.
  • Die jeweilige Rechtsgrundlage der Verarbeitung (z. B. Einwilligung, Vertragserfüllung, berechtigtes Interesse).
  • Eine Beschreibung der Kategorien von betroffenen Personen (z. B. Kunden, Mitarbeiter) und der Kategorien personenbezogener Daten (z. B. Adressdaten, Gesundheitsdaten).
  • Die Kategorien von Empfängern, an die Daten weitergegeben werden (z. B. Zahlungsdienstleister, Versandunternehmen).
  • Informationen über eventuelle Datenübermittlungen an Länder außerhalb der EU oder an internationale Organisationen.
  • Die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien.
  • Eine allgemeine Beschreibung der ergriffenen technischen und organisatorischen Schutzmaßnahmen (TOMs).
⏳ Lädt Dataview-Inhalt...

Meldepflicht bei Datenschutzverletzungen (Art. 33/34 DSGVO)

Eine Datenschutzverletzung (auch Data Breach genannt) liegt vor, wenn es zu einer unbeabsichtigten oder rechtswidrigen Offenlegung, einem Verlust, einer Veränderung oder einem unbefugten Zugriff auf personenbezogene Daten kommt. Im Falle einer solchen Verletzung bist du verpflichtet, diese innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Datenschutzbehörde zu melden. Besteht durch die Verletzung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen, musst du auch diese unverzüglich informieren.

Die Meldung an die Behörde muss mindestens folgende Informationen enthalten:

  • Eine Beschreibung der Art der Datenschutzverletzung, einschließlich der betroffenen Datenkategorien und der ungefähren Anzahl der betroffenen Personen.
  • Den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer anderen Anlaufstelle.
  • Eine Beschreibung der wahrscheinlichen Folgen der Datenschutzverletzung.
  • Eine Beschreibung der Maßnahmen, die du ergriffen hast oder vorschlägst, um die Verletzung zu beheben und mögliche negative Auswirkungen zu mindern.

Zusätzlich besteht eine Dokumentationspflicht: Alle Datenschutzverletzungen, auch jene, die nicht meldepflichtig sind, müssen intern dokumentiert werden.

Datenschutz-Folgenabschätzung (DSFA) (Art. 35 DSGVO)

Bevor du eine neue Art der Datenverarbeitung einführst, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, musst du eine Datenschutz-Folgenabschätzung (DSFA) durchführen. Dies ist insbesondere der Fall bei der Einführung neuer Technologien, bei systematischem Profiling, bei der umfangreichen Überwachung öffentlich zugänglicher Bereiche oder bei der Verarbeitung großer Mengen sensibler Daten.

Eine DSFA ist eine systematische Risikobewertung und muss folgende Elemente umfassen:

  • Eine detaillierte Beschreibung der geplanten Verarbeitungsvorgänge und ihrer Zwecke.
  • Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung in Bezug auf die Zwecke.
  • Eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen (z. B. das Risiko von Diskriminierung, Identitätsdiebstahl oder finanziellen Verlusten durch Profiling).
  • Die geplanten Abhilfemaßnahmen, einschließlich technischer und organisatorischer Schutzmaßnahmen, um die Risiken zu minimieren.
  • Eine lückenlose Dokumentation des gesamten Prozesses und der getroffenen Entscheidungen.

Anwendungsbeispiel:
Du planst die Einführung eines neuen Bonitätsbewertungssystems, das automatisiert Kundendaten analysiert und mittels Profiling Kreditentscheidungen vorbereitet. Vor der Einführung führst du eine DSFA durch. Darin bewertest du das Risiko für Kunden, die fälschlicherweise als nicht kreditwürdig eingestuft werden, und legst Maßnahmen wie manuelle Überprüfungsmöglichkeiten und transparente Kriterien fest, um dieses Risiko zu minimieren.

Der Datenschutzbeauftragte (DSB) (Art. 37-39 DSGVO)

In bestimmten Fällen ist die Benennung eines Datenschutzbeauftragten (DSB) gesetzlich vorgeschrieben. Dies ist der Fall, wenn die Kerntätigkeit deines Unternehmens in der umfangreichen Verarbeitung besonderer Datenkategorien (z. B. Gesundheitsdaten) oder in der regelmäßigen und systematischen Überwachung von Personen besteht. Auch öffentliche Stellen müssen in der Regel einen DSB benennen.

Der DSB hat klar definierte Aufgaben und eine besondere Stellung im Unternehmen:

  • Er berät die Geschäftsleitung und die Mitarbeitenden in allen Fragen der DSGVO.
  • Er überwacht die Einhaltung der Datenschutzvorschriften im gesamten Unternehmen.
  • Er unterstützt bei der Durchführung der Datenschutz-Folgenabschätzung.
  • Er ist die zentrale Ansprechperson für betroffene Personen und für die Aufsichtsbehörden.
  • Er muss seine Funktion unabhängig und weisungsfrei ausüben können. Seine Benennung muss der Aufsichtsbehörde gemeldet werden, und er berichtet direkt an die oberste Leitungsebene.

Anwendungsbeispiel:
Als neu benannter DSB eines Krankenhauses überwachst du die korrekte Verarbeitung von Patientendaten. Du schulst das Personal, berätst die Geschäftsführung bei der Einführung einer neuen digitalen Patientenakte und bist die offizielle Anlaufstelle für Patienten, die Fragen zum Schutz ihrer Gesundheitsdaten haben.

⏳ Lädt Dataview-Inhalt...

Zusammenfassung und Ausblick

Zusammenfassung:

Du kannst jetzt die fundamentalen Prinzipien des Datenschutzes erklären und ihre praktische Bedeutung einordnen. Du verstehst, dass der Schutz personenbezogener Daten bereits in der Entwicklungsphase von Produkten und Diensten beginnt. Konkret weißt du, was Privacy by Design bedeutet: die präventive Integration von Datenschutz durch Maßnahmen wie Datenminimierung, Verschlüsselung und Zugriffskontrollen direkt in die Systemarchitektur. Eng damit verbunden kannst du das Prinzip Privacy by Default erläutern, das fordert, dass Voreinstellungen immer die datenschutzfreundlichste Option sein müssen, etwa durch standardmäßig deaktiviertes Tracking oder Opt-in-Verfahren.

Für die kontinuierliche Steuerung und den Nachweis der Einhaltung kannst du die Funktion des Verarbeitungsverzeichnisses beschreiben. Du weißt, dass dieses Dokument lückenlos alle Verarbeitungstätigkeiten mit ihren Zwecken, Rechtsgrundlagen, Löschfristen und Schutzmaßnahmen festhält.

Für den Fall, dass du eine neue Verarbeitung mit voraussichtlich hohem Risiko planst, kennst du das Instrument der Datenschutz-Folgenabschätzung (DSFA). Du kannst erklären, dass es sich hierbei um eine systematische Risikobewertung handelt, die vor der Einführung durchgeführt wird, um Gefahren für betroffene Personen zu identifizieren und durch gezielte Abhilfemaßnahmen zu minimieren.

Du kennst auch die Pflichten, die bei einem Sicherheitsvorfall greifen. Du kannst definieren, was eine Datenschutzverletzung ist und weißt, dass du diese innerhalb der strikten 72-Stunden-Frist an die Aufsichtsbehörde melden musst, wenn ein Risiko besteht. Besteht sogar ein hohes Risiko für die Betroffenen, musst du auch diese informieren.

Schließlich verstehst du die Rolle und die Aufgaben des Datenschutzbeauftragten (DSB). Du weißt, wann seine Benennung verpflichtend ist und dass er als unabhängiger Berater die Einhaltung der DSGVO überwacht und als zentrale Anlaufstelle für Behörden und Betroffene fungiert.

Ausblick:

In der modernen, vernetzten Welt werden Daten häufig über Ländergrenzen hinweg ausgetauscht. In der nächsten Lektion erfährst du, welche speziellen und strengen Regeln gelten, wenn personenbezogene Daten die Europäische Union verlassen und an Empfänger in Drittländern übermittelt werden.