FAQ

Was sind personenbezogene Daten? – Art. 9 DSGVO

"Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)". Damit sind alle Informationen umfasst, die über eine Person etwas aussagen! Diese sind neben Namen, (E-Mail) Adresse, Geburtsdatum auch genomische Daten, medizinische Informationen (elektronisches Patientendossier), biometrische Daten, Bankdaten, Besitzmerkmale, Kunden- und Bewerberdaten, Online-Kennungen und besondere Merkmale (z. b. physische, genetische, kulturelle, soziale Identität).

Rechte der Betroffenen – Art. 5 - 22  DSGVO

Sie sind das Kernstück des Datenschutzes und vertraglich nicht abdingbar: 

  1. Recht auf Transparenz – Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Transparenz des Zusammenhangs: Wer erhebt was von wem? Wann? Warum und wofür? 

  2. Recht auf Auskunft – das Recht, eine Bestätigung darüber zu verlangen, ob die eigenen personenbezogenen Daten verarbeitet werden und die Auskunft darüber.

  3. Recht auf Berichtigung, Löschung und Einschränkung der Verarbeitung 

  4. Recht auf Datenübertragbarkeit – Die betroffene  Person hat das Recht, die sie betreffenden personengezogenen Daten, die dem Verantwortlichen bereitgestellt wurden, in einer strukturierten, gängigen und maschinenlesbaren Form zu erhalten … 

  5. Recht, keiner automatisierten Entscheidung unterworfen zu werden – Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie erheblich beeinträchtigt.

Wann spricht man von Datenverarbeitung? – Art. 30 DSGVO

Im Sinne der Verordnung bezeichnet der Ausdruck „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Auftragsdatenverarbeitung ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten durch einen Dienstleister - z.B. ein Steuerberater, der im Auftrag einer Firma die Lohnbuchhaltung übernimmt - im Auftrag des Verantwortlichen.

 

Was ist Profiling? – Art. 4 DSGVO

Eine automatisierte Verarbeitung, die personenbezogene Daten verwendet, um persönliche Aspekte einer natürlichen Person zu bewerten, um insbesondere Arbeitsleistung, wirtschaftliche Lage, Gesundheit, Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel zu analysieren und vorherzusagen.

 

Was ist Datensicherheit?

Der Schutz der Daten vor unberechtigter Kenntnisnahme, ungewollter Verfälschung sowie vor Zerstörung und Verlust. Die Ziele sind Vertraulichkeit, Integrität und Verfügbarkeit.

Datenschutzrichtlinie oder Datenschutzhandbuch – Art. 5 Abs.2 DSGVO

Unter der EU-DSGVO sind Unternehmen verpflichtet, die datenschutzrechtlichen Anforderungen punktuell und strukturell zu erfüllen. Das heißt konkret: ein Unternehmen muss im Audit-Fall nicht nur nachweisen können, dass es zu einem bestimmten Zeitpunkt datenschutzkonform gearbeitet hat. Es muss vielmehr der Nachweis geführt werden, dass man die datenschutzrechtlichen Anforderungen laufend in der Unternehmenspraxis erfüllt.
Daher lautet die einheitliche Empfehlung auch der Datenschutz Aufsichtsbehörden, dass Unternehmen (je nach Größe) eine Datenschutzrichtlinie oder ein Datenschutzhandbuch erlassen sollten, um die datenschutzrechtlichen Anforderungen adressieren zu können.

Verzeichnis der Verarbeitungstätigkeiten – Art. 30 DSGVO

Unternehmen sind verpflichtet, ihre Verarbeitungstätigkeiten in einem schriftlichen Verzeichnis zu dokumentieren. In anderen Worten: ein mit Ihren Verarbeitungstätigkeiten nicht im Detail vertrauter Mitarbeiter einer Aufsichtsbehörde sollte nach Durchsicht des Verzeichnisses der Verarbeitungstätigkeiten einen groben Überblick erhalten, wer im Unternehmen wie und welche Daten verarbeitet, wann diese gelöscht werden und wie sie technisch gesichert sind.

IT-Sicherheit  Art. 32 DSGVO

Die EU DSGVO verstärkt durch eine Erhöhung der Bußgelder die Anforderung für die Unternehmen, eigene IT-Systeme nach dem Stand der Technik branchenüblich sicher zu führen. Das beinhaltet eine Zur-Verfügung-Stellung ausreichender Mittel. Diese Formulierung könnte man als «schwammig» bezeichnen; gemeint damit ist aber eine laufende Anpassung von Datenschutz – Datensicherheit und – Datensicherung aufgrund der sich wandelnden digitalen Welt und der daraus entstehenden Gefahren u.a. durch Cyberkriminalität.

Webseiten-Datenschutzerklärung – Art. 13/14 DSGVO

Wenn ein Unternehmen personenbezogene Daten eines Betroffenen erhebt und verarbeitet,  müssen Betroffene über Datenverarbeitungs-Vorgänge informiert werden und erfahren, was mit ihren Daten im Detail geschieht. Dies gilt auch für die Erhebung der Daten durch eine Webseite und den Einsatz von Cookies, Google Analytics etc.

"Digital Fitness" Sensibilisierung und Schulung von Mitarbeitern – Art. 5 Abs. 2 DSGVO

Abgeleitet aus der Rechenschaftspflicht «Accountability» des Unternehmens muss der Arbeitgeber seine Beschäftigten in datenschutzrechtlichen Themen und Vorgaben unterrichten. Der Schulungsumfang richtet sich dabei nach Branche und Größe des Unternehmens.  Unternehmen sind gehalten, die Durchführung der Schulungsmassnahmen zu dokumentieren.

Pseudonymisierung und Anonymisierung – Art. 4 (5) DSGVO

Bei der Pseudonymisierung werden die personenbezogenen Daten in einer Weise verarbeitet, dass sie ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen Person zugeordnet werden können. Eine endgültige Auflösung der Möglichkeiten einer Zuordnung von Daten zu einer spezifischen Person kennzeichnet dagegen die Anonymisierung und ist somit das höhere Schutzlevel.

 

  • Weißes Xing
  • LinkedIn Social Icon

Kontakt:

Monika Wehr

T. +41 79 348 55 63

info@cyberwehr-rms.ch