Home / Aktuelles & Termine / it.sec blog

Die EU-Datenschutz-Grundverordnung (DSGVO) löst die Datenschutzrichtlinie 95/46/EG von 1995 ab. Im Unterschied zur Datenschutzrichtlinie gilt die DSGVO unmittelbar in der gesamten Europäischen Union. Die DSGVO ist am 25.05.2016 in Kraft getreten und ist nach einer Umsetzungsfrist von zwei Jahren ab dem 25.05.2018 unmittelbar geltendes Recht in allen Mitgliedsstaaten.

Mit Hilfe der in den nächsten Wochen folgenden Blogbeiträge möchten wir Sie bezüglich der Änderungen sensibilisieren, damit die zu treffenden Anpassungen zeitnah bei Ihnen in die Wege geleitet werden können. Alle Unternehmen sollten die Übergangsfrist nutzen, um ihre gesamten Datenverarbeitungstätigkeiten inhaltlich und formal an die Anforderungen der DSGVO anzupassen. Spätestens ab dem 25.05.2018 muss jedes betroffene Unternehmen die neuen Anforderungen einhalten. Andernfalls drohen drastische Bußgelder.

Anwendbarkeit der DSGVO

Die Datenschutzgrundverordnung gilt für alle Datenverarbeitungsprozesse, die sich auf personenbezogene Daten von betroffenen Personen, die sich in der europäischen Union befinden, beziehen. Das gilt bei einer Verarbeitung im Rahmen einer EU-Niederlassung, dem Angebot von Waren und Dienstleistungen in der EU sowie bei der Verhaltensbeobachtung von Personen in der EU.

Sie gilt für ganz oder teilweise automatisierte Verarbeitungen personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einer Datei gespeichert sind oder gespeichert werden sollen.

Begrifflichkeiten

Im Rahmen der DSGVO werden auch genetische und biometrische Daten unter den Begriff der sensiblen personenbezogenen Daten gefasst, Art. 4 und 9 DSGVO. Auch haben sich Begrifflichkeiten geändert, so wird beispielsweise der Auftragsdatenverarbeiter zum Auftragsverarbeiter und die verantwortliche Stelle zum Verantwortlichen.

Besondere personenbezogene Daten

Die besonderen Kategorien personenbezogener Daten finden sich in Art. 9 DSGVO. Folgende Kategorien sind dabei erfasst:

  • rassische oder ethnische Herkunft,
  • politische Meinungen,
  • religiöse oder weltanschauliche Überzeugungen,
  • Gewerkschaftszugehörigkeit,
  • genetische Daten
  • biometrische Daten,
  • Gesundheitsdaten,
  • Sexualleben sowie sexuelle Orientierung.

Insofern sind gegenüber dem BDSG nur drei weitere Kategorien hinzugekommen: die genetischen und biometrischen Daten sowie die sexuelle Orientierung.

Die Verarbeitung dieser besonderen Daten bleibt grundsätzlich verboten. Diese dürfen nur dann verarbeitet werden, wenn eine der folgenden Voraussetzungen gegeben ist:

  • Einwilligung: Diese Erklärung muss ausdrücklich durch den Betroffenen erfolgen.
  • Die Verarbeitung Zwecken der Gesundheitsvorsorge und Arbeitsmedizin etc. dient.
  • Im öffentlichen Interesse liegende Wissenschafts- und Archivzwecke.
  • Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
  • Öffnungsklausel für genetische, biometrische oder gesundheitliche Daten (die Mitgliedstaaten haben hier die Möglichkeit, zusätzliche Regelungen zu schaffen).
  • Zum Schutz lebenswichtiger Interessen, oder die Daten wurden durch den Betroffenen offenkundig öffentlich gemacht.
  • Mit der Datenschutzgrundverordnung gibt es zudem eine separate Regelung in Art. 10 DSGVO bezüglich der Datenverarbeitung von Straftaten oder strafrechtlichen Verurteilungen.

Auch an anderen Stellen der DSGVO wird auf die besonderen Datenkategorien konkret Bezug genommen. Beispielsweise bei der Folgenabschätzung in Art. 35 DSGVO oder bei der Pflicht zur Führung eines Verfahrensverzeichnisses in Artikel 30 DSGVO.

Fazit

Alle Datenverarbeitungsprozesse die sich auf personenbezogene Daten von betroffenen Personen, die sich in der EU befinden, beziehen, unterliegen der DSGVO.

Die Begrifflichkeiten haben sich leicht geändert, hinter ihnen versteckt sich jedoch das gleiche Konstrukt. Auch die besonderen personenbezogenen Daten wurden erweitert, jedoch hat sich im Grundsatz nichts daran geändert, dass deren Verarbeitung grundsätzlich verboten ist.

Bettina Kraft
Justiziarin, Consultant für Datenschutz
bkraft@it-sec.de

ADCERT Angemessenheitsbeschluss Anwendbarkeit Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Audit Aufsichtsbehörde Auftragsverarbeitung Auskunftei Auskunftsrecht Automatisierte Einzelentscheidung Autsch BAG BDSG-Neu Begrifflichkeiten Beherbergungsstätten Benachrichtigungspflicht Beschäftigtendatenschutz besondere Kategorien personenbezogener Daten betrieblicher E-Mail-Account betrieblicher Internetzugang Betroffenenrechte BfDI BGH biometrische Daten Biometrische und genetische Daten Bitkom Bonitätsprüfung Brexit Bundesarbeitsgericht Bußgeld BVG Cloud CNIL Compliance Cookie Datenlöschung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutzerklärung Datenschutzgrundverordnung Datenschutzprinzipien Datenschutzverletzung Datensicherheit Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Do not track-Funktion Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau DSAnpUG-EU DSGVO dynamische IP-Adresse eCall-Technologie Einwilligung Einwilligungserklärung Entsorgung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative EU-Datenschutz-Grundverordnung EuGH Facebook Fahrzeugdaten Fahrzeuge Fernmeldegeheimnis Fluggastdaten Gemeinsam Verantwortliche Home Office Informationspflichten Informationssicherheit IP-Adresse Irland IT-Forensik IT-forensische Untersuchung IT-Sicherheit Joint Control Kanada Konzern konzerninterner Datentransfer Leistungs- und Verhaltenskontrolle Löschung personenbezogener Daten Marktortprinzip Meldepflicht Meldescheine Microsoft NIST One Stop Shop Passwort Passwörter Passwörter. 2016 Passwortregeln Passwortschutz Personalausweiskopien personenbezogene Daten Privacy by Default Privacy by Design Privacy Shield Privatnutzung Privatnutzungsverbot Profiling Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte der betroffenen Person Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Siegel Skype Sony PSN Standardvertragsklauseln Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telemediendienst Telemediengesetz TKG TMG Tracking Tracking Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist unpersonalisierter Benutzer-Account Unternehmensgruppe USA Vereinbarung Vernichtung von Datenträgern Verordnung (EU) 2015/758 Vertrag zur Auftragsverarbeitung Verwaltungsakt Verwaltungsgericht Karlsruhe Videoüberwachung Vorteile Webseite Webseiten Webtracking Webtrecking Werbung Widerrufsrecht Widerspruchsrecht Zertifikat Zertifizierung Zulässigkeit § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 42a BDSG § 42b BDSG § 88 TKG

An dieser Stelle wollen wir von Zeit zu Zeit unsere Web-Logs ("blogs") pflegen und unsere Meinung zu bestimmten Themen kundtun.

Die einzelnen Posts stellen jeweils die Meinung des Autors dar und nicht zwangsläufig jene der it.sec. Die Inhalte sind stellen keine Beratung dar und übernehmen für die Inhalte keine Haftung.

Tags

Mo Di Mi Do Fr Sa So
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30