Auftragsverarbeitung (ehemals auch Auftragsdatenverarbeitung) ist die Erhebung, Verarbeitung oder Nutzung von Personenbezogenen Daten durch einen Auftragsverarbeiter gemäß den Weisungen des für die Datenverarbeitung verantwortlichen auf Grundlage eines Vertrages. Der Auftragsverarbeiter ist also selbst kein Verantwortlicher im Sinne der DSGVO, sondern handelt für diesen.

Ein Auftragsverarbeitungsvertrag („AVV) regelt die Rechte und Pflichten von Auftraggebern und -nehmern im Rahmen der Datenverarbeitung innerhalb eines bestimmten IT-Prozesses. Der Inhalt dieses Vertrages hat sich an den Vorgang des Art. 28 Abs. 3 DS-GVO zu orientieren.

Ein Joint Controller Agreement ist eine Vereinbarung über die gemeinsame Verantwortlichkeit im Sinne des Artikels 26 DSGVO. Zwei oder mehrere Verantwortliche können gemeinsame Zwecke und Mittel zur Verarbeitung festlegen. Der Vertrag enthält Bestimmungen dazu, wer von Ihnen welche Verpflichtung gemäß der Vereinsverordnung erfüllt, insbesondre was Wahrnehmung der Rechte der betroffenen Personen angeht, und wer welchen informationspflichten nachkommt.

Ein Controller-Controller-Agreement schließen zwei verantwortliche, die in gewisser Weise kooperieren, aber nicht gemeinsame verantwortliche im Sinne des Artikel 26 DSGVO werden wollen. Dieses Agreement bietet sich an, um darin gegenseitige Rechte und Pflichten abzustecken.

Die Datenschutzgrundverordnung ist eine europäische Rechtsnorm und bildet die Grundlage des europäischen und deutschen Datenschutzrechts. Sie ist die Zentrale Norm und ist in Verbindung mit den Erwägungsgründen dazu zu lesen. Auf nationaler Ebene wird Sie durch Sätze wohlmöglich umgesetzt.

Das Bundesdatenschutzgesetz ist die Zentrale Rechtsnorm des deutschen Rechts, mit der die DSGVO für Deutschland umgesetzt wird. Sie steht keinesfalls isoliert da, sondern muss in Verbindung mit der DSGVO gelesen und verstanden werden.

Das Telemedien und Telekommunikationsdatenschutzgesetz ist seit Dezember 2021 in Kraft und tritt neben das BDSG als Zentrale Rechtsquelle im deutschen Recht. Im TTDSG werden die Datenschutzrechtlichen Bestimmungen aus dem TMG und TKG gesamte und teilweise ergänzt.

Mittels Personal Information Management System (PIMS) können zentral Einstellungen in Bezug auf die Nutzung und Gestattung von Cookies abgegeben werden. Die im PIMS vorgenommenen Einstellungen werden an die angebundenen Betreiber von Homepages weitergegeben. So soll vermieden werden, dass bei jedem Besuch einer Homepage erneut alle Einstellungen vorgenommen werden müssen.

Weil das Datenschutzrecht Europarecht ist, müssen neben den nationalen gesetzten auch die Europäischen Rechtsnormen beachtet werden. Große Relevanz haben auch die Rechtsprechungen des Europäischen Gerichtshofes, der sich regelmäßig zu der DSGVO verhält.

Verstöße gegen das Datenschutzrecht sind Bußgeld bewährt. Die Datenschutzbehörden tendieren dazu, sehr hohe Bußgelder zu verhängen. Durch gutes Management und einen nachgehaltenen Datenschutz, zeigt die Erfahrung aber, dass vor Gerichten die Bußgelder häufig reduziert werden können.

Unter personenbezogenen Daten versteht man sämtliche Informationen, die sich auf eine bestimmte oder eine bestimmbare natürliche Person beziehen. Bestimmbar ist eine Person dann, wenn man sie, ohne dass man ihren Namen kennt, aufgrund bestimmter sonstiger Hinweise identifizieren kann. Personenbezogene Daten sind zum Beispiel Name, Adresse, Geburtsdatum, Nationalität, Religionszugehörigkeit, Größe, Augenfarbe, Kleidergröße, Allergien, sonstige Auffälligkeiten. Dazu gehört auch das Foto einer Person.

Wegen ihrer besonderen, individuellen Relevanz genießen Daten wie Gesundheitsdaten, biometrische Daten, rassische oder ethnische Herkunft, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit oder auch sexuelle Orientierung einen erhöhten Schutz.

Der Begriff Datenverarbeitung ist sehr weitgehend. Er umfasst alles, was mit den Daten gemacht wird. Umfasst sind beispielsweise das Erheben, das Erfassen, das Ordnen, die Speicherung, die Anpassung oder Veränderungen, das Abfragen, die Verwendung, jede Art der Datenweitergabe aber auch das Löschen oder die Vernichtung von Daten.

Beschäftigte im Sinne dieses Gesetzes sind Arbeitnehmerinnen und Arbeitnehmer, einschließlich der Leiharbeitnehmerinnen und Leiharbeitnehmer im Verhältnis zum Entleiher, zu ihrer Berufsbildung Beschäftigte, Teilnehmerinnen und Teilnehmer an Leistungen zur Teilhabe am Arbeitsleben sowie an Abklärungen der beruflichen Eignung oder Arbeitserprobung (Rehabilitandinnen und Rehabilitanden), in anerkannten Werkstätten für behinderte Menschen Beschäftigte, Freiwillige, die einen Dienst nach dem Jugendfreiwilligendienstegesetz oder dem Bundesfreiwilligendienstgesetz leisten, Personen, die wegen ihrer wirtschaftlichen Unselbständigkeit als arbeitnehmerähnliche Personen anzusehen sind; zu diesen gehören auch die in Heimarbeit Beschäftigten und die ihnen Gleichgestellten, Beamtinnen und Beamte des Bundes, Richterinnen und Richter des Bundes, Soldatinnen und Soldaten sowie Zivildienstleistende.

Ein Datenschutzbeauftragter ist vorgeschrieben in Unternehmen mit mindestens 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 BDSG), wenn für die Datenverarbeitungen eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) notwendig ist oder wenn der Betrieb personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet (§ 38 Abs. 1 BDSG). Er wacht über die Einhaltung des Datenschutzes im Unternehmen und fungiert als Schnittstelle zwischen Arbeitgeber und Aufsichtsbehörde.

Nach § 26 Abs. 1 S. 1 BDSG ist eine Datenverarbeitung im Arbeitsverhältnis zulässig, wenn diese erforderlich ist und sie ausschließlich dem Zweck des Beschäftigungsverhältnisses dient, also der Begründung, der konkreten Durchführung oder auch der Beendigung. Relevant ist also schon der Bewerbungsprozess!

Eine Datenverarbeitung kann auch eine Einwilligung gestützt werden. Allerdings ist eine Wirksamkeitsvoraussetzung deren Freiwilligkeit, die im Arbeitsverhältnis stets zu bezweifeln ist. Deshalb und wegen der Möglichkeit des Widerrufs sollte wo es umsetzbar auf andere Rechtsgrundlagen.