Was sind die Grundsätze der Verarbeitung personenbezogener Daten gemäß Artikel 5 DSGVO und ein Beispiel aus der Pflegepraxis?

Laut der Datenschutz-Grundverordnung (DSGVO) sind mehrere Verfahren und Maßnahmen notwendig, wenn personenbezogene Daten verarbeitet werden. Dazu gehören: 1. **Rechtsgrundlage**: Es muss eine gültige Rechtsgrundlage für die Verarbeitung vorliegen, wie Einwilligung, Vertragserfüllung, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe oder berechtigtes Interesse. 2. **Transparenz**: Betroffene Personen müssen über die Verarbeitung ihrer Daten informiert werden, einschließlich der Zwecke der Verarbeitung, der Rechtsgrundlage, der Speicherdauer und der Rechte der Betroffenen. 3. **Datenschutz-Folgenabschätzung (DSFA)**: Bei bestimmten Arten von Datenverarbeitungen, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellen, ist eine DSFA erforderlich. 4. **Technische und organisatorische Maßnahmen**: Es müssen geeignete Maßnahmen ergriffen werden, um die Sicherheit der Daten zu gewährleisten, wie z.B. Verschlüsselung, Zugriffskontrollen und regelmäßige Sicherheitsüberprüfungen. 5. **Dokumentation**: Die Verarbeitungstätigkeiten müssen dokumentiert werden, um die Einhaltung der DSGVO nachweisen zu können. 6. **Rechte der Betroffenen**: Die Rechte der betroffenen Personen, wie das Recht auf Auskunft, Berichtigung, Löschung und Widerspruch, müssen gewährleistet und respektiert werden. 7. **Meldung von Datenschutzverletzungen**: Im Falle einer Datenschutzverletzung muss diese innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden, sofern ein Risiko für die Rechte und Freiheiten der Betroffenen besteht. Diese Verfahren sind entscheidend, um den Anforderungen der DSGVO gerecht zu werden und den Schutz personenbezogener Daten sicherzustellen.

Hier sind einige einfache Ja/Nein-Fragen zum DSGVO-Datenlebenszyklus: 1. Werden personenbezogene Daten erhoben? 2. Werden die betroffenen Personen über die Datenerhebung informiert? 3. Gibt es eine Einwilligung zur Datenverarbeitung? 4. Werden die Daten sicher gespeichert? 5. Werden die Daten regelmäßig aktualisiert? 6. Haben die betroffenen Personen Zugriff auf ihre Daten? 7. Können die Daten auf Anfrage gelöscht werden? 8. Werden die Daten an Dritte weitergegeben? 9. Gibt es eine Dokumentation der Datenverarbeitung? 10. Werden die Daten nach Ablauf der Aufbewahrungsfrist gelöscht?

Der besondere Schutz von Gesundheitsdaten ist in der Datenschutz-Grundverordnung (DSGVO) in **Artikel 9** geregelt. Dort werden „besondere Kategorien personenbezogener Daten“ aufgeführt, zu denen auch Gesundheitsdaten gehören. **Artikel 9 Absatz 1 DSGVO** lautet: > Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, **Gesundheitsdaten** oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt. **Gesundheitsdaten** werden in **Erwägungsgrund 35** und in **Artikel 4 Nr. 15 DSGVO** näher definiert. Weitere Informationen findest du direkt im Gesetzestext: [DSGVO – Artikel 9: Verarbeitung besonderer Kategorien personenbezogener Daten](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679#d1e1882-1-1)

Ob Distributoren als Auftragsverarbeiter im Sinne der Datenschutz-Grundverordnung (DSGVO) gelten, hängt von ihrer konkreten Rolle und den verarbeiteten Daten ab. **Definitionen nach DSGVO:** - **Auftragsverarbeiter** ist eine Stelle, die personenbezogene Daten im Auftrag und nach Weisung eines Verantwortlichen verarbeitet (Art. 4 Nr. 8 DSGVO). - **Verantwortlicher** ist die Stelle, die über die Zwecke und Mittel der Verarbeitung entscheidet (Art. 4 Nr. 7 DSGVO). **Typische Rolle von Distributoren:** Distributoren sind in der Regel Unternehmen, die Produkte von Herstellern an Händler oder Endkunden weiterverkaufen. Sie handeln dabei meist im eigenen Namen und auf eigene Rechnung. In diesem Zusammenhang verarbeiten sie Kundendaten für eigene Zwecke (z.B. zur Abwicklung von Bestellungen, Rechnungsstellung etc.). **Fazit:** - **In der Regel sind Distributoren keine Auftragsverarbeiter**, sondern selbst Verantwortliche, da sie über die Zwecke und Mittel der Datenverarbeitung entscheiden. - **Ausnahme:** Wenn ein Distributor im Einzelfall ausschließlich im Auftrag eines anderen Unternehmens personenbezogene Daten verarbeitet und dabei keine eigenen Zwecke verfolgt, könnte er als Auftragsverarbeiter gelten. Das ist aber im klassischen Distributionsgeschäft selten. **Weiterführende Informationen:** - [Art. 4 DSGVO – Begriffsbestimmungen](https://dsgvo-gesetz.de/art-4-dsgvo/) - [Auftragsverarbeitung nach DSGVO – IHK](https://www.ihk.de/berlin/produktmarken/beratung-service/recht-und-steuern/datenschutz/auftragsverarbeitung-4189642) **Zusammengefasst:** Distributoren sind in der Regel keine Auftragsverarbeiter, sondern Verantwortliche im Sinne der DSGVO.

Personenbezogene Daten der höchsten Schutzklasse sind besonders sensible Daten, deren Missbrauch für die betroffenen Personen erhebliche Risiken wie Diskriminierung, Identitätsdiebstahl oder Rufschädigung bedeuten kann. In Deutschland und der EU werden diese Daten als „besondere Kategorien personenbezogener Daten“ gemäß Art. 9 DSGVO bezeichnet. Dazu zählen insbesondere: - Daten zur rassischen und ethnischen Herkunft - Politische Meinungen - Religiöse oder weltanschauliche Überzeugungen - Gewerkschaftszugehörigkeit - Genetische Daten - Biometrische Daten (zur eindeutigen Identifizierung einer Person) - Gesundheitsdaten - Daten zum Sexualleben oder der sexuellen Orientierung Diese Daten unterliegen besonders strengen Schutzvorschriften. Ihre Verarbeitung ist grundsätzlich verboten, es sei denn, es greift eine ausdrückliche Ausnahme nach Art. 9 Abs. 2 DSGVO (z. B. ausdrückliche Einwilligung der betroffenen Person). Weitere Informationen findest du direkt bei der [Datenschutz-Grundverordnung (DSGVO)](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679).

Nach der Datenschutz-Grundverordnung (DSGVO) kann ein immaterieller Schaden grundsätzlich ersatzfähig sein. Artikel 82 DSGVO sieht vor, dass jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz hat. Der Begriff des „immateriellen Schadens“ ist in der DSGVO nicht abschließend definiert. Der sogenannte „Kontrollverlust“ über personenbezogene Daten wird in der juristischen Diskussion und Rechtsprechung häufig als möglicher immaterieller Schaden angesehen. Der Europäische Gerichtshof (EuGH) hat in seinem Urteil vom 4. Mai 2023 (C-300/21) klargestellt, dass bereits der Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden darstellen kann, sofern die betroffene Person tatsächlich einen Nachteil erlitten hat. Allerdings reicht allein der Verstoß gegen die DSGVO nicht aus; es muss ein konkreter Schaden (z. B. ein erlebter Kontrollverlust mit nachweisbaren negativen Folgen) vorliegen. Die Gerichte prüfen im Einzelfall, ob und in welchem Umfang ein solcher Schaden tatsächlich entstanden ist. Zusammengefasst: Ja, Kontrollverlust kann als immaterieller Schaden nach DSGVO ersatzfähig sein, wenn er zu einem tatsächlichen Nachteil für die betroffene Person geführt hat. Die genaue Bewertung erfolgt jedoch immer im Einzelfall durch die Gerichte. Weitere Informationen: - [Artikel 82 DSGVO](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679) - [EuGH, Urteil vom 4. Mai 2023, C-300/21](https://curia.europa.eu/juris/document/document.jsf?docid=261932&doclang=DE)

Nach Artikel 7 der DSGVO (Datenschutz-Grundverordnung) hat eine betroffene Person nach Abgabe ihrer Einwilligung insbesondere folgende Rechte: 1. **Widerrufsrecht**: Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Der Widerruf der Einwilligung berührt nicht die Rechtmäßigkeit der Verarbeitung, die aufgrund der Einwilligung bis zum Widerruf erfolgt ist (Artikel 7 Absatz 3 DSGVO). 2. **Information über das Widerrufsrecht**: Die betroffene Person muss vor Abgabe der Einwilligung darüber informiert werden, dass sie das Recht hat, die Einwilligung jederzeit zu widerrufen (Artikel 7 Absatz 3 Satz 2 DSGVO). 3. **Freiwilligkeit der Einwilligung**: Die Einwilligung muss freiwillig erfolgen. Die Erbringung einer Dienstleistung darf grundsätzlich nicht von einer Einwilligung abhängig gemacht werden, wenn die Einwilligung für die Erbringung der Dienstleistung nicht erforderlich ist (Artikel 7 Absatz 4 DSGVO). Weitere Informationen findest du direkt im Gesetzestext: [Artikel 7 DSGVO](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679#d1e2207-1-1)

Nein, die Angabe "Verarbeitung personenbezogener Daten gem. Gegenstand des Basisdienstleistungsvertrages" reicht in der Regel nicht aus, um den Anforderungen der Datenschutz-Grundverordnung (DSGVO) an die Genehmigung von Unterauftragsverarbeitern (Subunternehmern) zu genügen. **Begründung:** Nach Art. 28 Abs. 2 und 4 DSGVO muss der Verantwortliche dem Einsatz von Unterauftragsverarbeitern ausdrücklich zustimmen. Die Genehmigung muss sich dabei auf konkrete Unternehmen und deren konkrete Tätigkeiten beziehen. Die bloße Bezugnahme auf den "Gegenstand des Basisdienstleistungsvertrages" ist zu unbestimmt, da sie nicht erkennen lässt, welche Daten, welche Kategorien von Daten und welche Verarbeitungsvorgänge konkret betroffen sind. **Erforderlich sind insbesondere:** - Die eindeutige Benennung des Unterauftragsverarbeiters (Name, Anschrift, ggf. Kontaktdaten). - Die Beschreibung der konkreten Verarbeitungstätigkeiten, die der Unterauftragsverarbeiter übernimmt. - Die Angabe, welche Arten personenbezogener Daten und welche Kategorien betroffener Personen betroffen sind. **Fazit:** Eine pauschale Formulierung wie "gem. Gegenstand des Basisdienstleistungsvertrages" genügt nicht den Transparenz- und Informationspflichten der DSGVO. Es ist eine spezifische und nachvollziehbare Beschreibung erforderlich. **Weitere Informationen:** - [Art. 28 DSGVO – Auftragsverarbeiter](https://dsgvo-gesetz.de/art-28-dsgvo/) - [BfDI: Hinweise zu Auftragsverarbeitung](https://www.bfdi.bund.de/DE/Datenschutz/Themen/Verarbeitung-und-Weitergabe/Auftragsverarbeitung/auftragsverarbeitung-node.html)

**Datenschutzhinweis gemäß Art. 14 DSGVO für postalische Werbung bei gekauften Adressen** Sehr geehrte Damen und Herren, im Rahmen unserer Werbemaßnahmen haben wir Ihre Adressdaten (Name, Anschrift) von einem Adressanbieter erworben. Nach Art. 14 der Datenschutz-Grundverordnung (DSGVO) sind wir verpflichtet, Sie über die Verarbeitung Ihrer personenbezogenen Daten zu informieren: **1. Verantwortlicher für die Datenverarbeitung** [Name des Unternehmens] [Adresse] [Telefonnummer] [E-Mail-Adresse] [ggf. Kontaktdaten des Datenschutzbeauftragten] **2. Zwecke und Rechtsgrundlage der Datenverarbeitung** Ihre Daten werden ausschließlich zum Zweck der postalischen Zusendung von Werbung verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Direktwerbung). **3. Herkunft der Daten** Ihre Adressdaten wurden von folgendem Adressanbieter erworben: [Name und Kontaktdaten des Adressanbieters] **4. Kategorien personenbezogener Daten** Verarbeitet werden folgende Datenkategorien: Name, Anschrift. **5. Empfänger der Daten** Ihre Daten werden nicht an Dritte weitergegeben, es sei denn, dies ist zur Durchführung der postalischen Werbung erforderlich (z.B. Druckereien, Versanddienstleister). **6. Speicherdauer** Ihre Daten werden für Werbezwecke gespeichert, solange ein berechtigtes Interesse besteht oder Sie der Nutzung widersprechen. **7. Ihre Rechte** Sie haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch gegen die Verarbeitung sowie das Recht auf Datenübertragbarkeit. Sie können der Verwendung Ihrer Daten für Werbezwecke jederzeit widersprechen. **8. Beschwerderecht** Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. **9. Kontakt** Für Fragen oder zur Ausübung Ihrer Rechte wenden Sie sich bitte an: [Kontaktdaten wie oben] Weitere Informationen zum Datenschutz finden Sie unter: [Link zur Datenschutzerklärung] --- Hinweis: Bitte die eckigen Platzhalter durch die konkreten Angaben deines Unternehmens ersetzen.

Nach Art. 14 DSGVO (Datenschutz-Grundverordnung) muss die betroffene Person informiert werden, wenn personenbezogene Daten nicht direkt bei ihr erhoben werden. Zu den erforderlichen Informationen gehört nach Art. 14 Abs. 2 lit. f DSGVO: > „aus welcher Quelle die personenbezogenen Daten stammen und ggf., ob sie aus öffentlich zugänglichen Quellen stammen.“ Die DSGVO schreibt nicht ausdrücklich vor, dass der Name der Quelle genannt werden muss. Allerdings wird in Erwägungsgrund 61 der DSGVO ausgeführt, dass die betroffene Person „über die Quelle der personenbezogenen Daten und gegebenenfalls darüber, ob sie aus öffentlich zugänglichen Quellen stammen, informiert werden“ sollte. Die Datenschutzaufsichtsbehörden (z. B. [Bayerisches Landesamt für Datenschutzaufsicht](https://www.lda.bayern.de/media/dsgvo_art_14.pdf), [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_12_06_auslegung_hinweispflichten.pdf)) vertreten die Auffassung, dass grundsätzlich der konkrete Name der Quelle zu nennen ist, also z. B. „Firma XY GmbH“ und nicht nur die Kategorie wie „Adresshändler“. Nur in Ausnahmefällen, wenn dies unmöglich ist oder einen unverhältnismäßigen Aufwand bedeuten würde, kann auf die Kategorie der Quelle verwiesen werden (Art. 14 Abs. 5 lit. b DSGVO). **Fazit:** In der Regel muss der Name der Quelle genannt werden. Die Angabe der Kategorie („Adresshändler“) reicht nur aus, wenn die Nennung des Namens unmöglich ist oder einen unverhältnismäßigen Aufwand bedeuten würde.