Wie ist die geplante Speicherdauer für personenbezogene Daten und welche Kriterien bestimmen diese?

Ja, eine handschriftliche Unterschrift gilt als besonderes personenbezogenes Datum im Sinne der Datenschutz-Grundverordnung (DSGVO), wenn sie Rückschlüsse auf besondere Kategorien personenbezogener Daten zulässt, wie z. B. biometrische Daten zur eindeutigen Identifizierung einer Person (Art. 9 DSGVO). Im Allgemeinen ist die Unterschrift ein personenbezogenes Datum, da sie eine Person identifizierbar macht. Sie wird dann zu einem besonderen personenbezogenen Datum, wenn sie z. B. im Rahmen einer biometrischen Auswertung (z. B. durch Analyse des Schreibverhaltens oder der Unterschriftsdynamik) verwendet wird, um eine Person eindeutig zu identifizieren. In diesem Fall handelt es sich um biometrische Daten im Sinne von Art. 4 Nr. 14 DSGVO. Wird die Unterschrift jedoch nur als Namenszug verwendet, ohne biometrische Auswertung, ist sie in der Regel kein besonderes personenbezogenes Datum, sondern „nur“ ein personenbezogenes Datum. Weitere Informationen findest du z. B. beim [BfDI](https://www.bfdi.bund.de/DE/Service/FAQ/FAQ-Datenschutz/faq-datenschutz-node.html) oder bei der [DSGVO selbst](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679).

Die Verarbeitung personenbezogener Daten für einen eigenständigen Zweck bedeutet, dass personenbezogene Daten nicht nur im Auftrag oder nach Weisung eines anderen (z. B. als Auftragsverarbeiter), sondern für eigene, selbst festgelegte Ziele und Zwecke verarbeitet werden. Das Unternehmen oder die Organisation entscheidet also eigenverantwortlich, warum und wie die Daten genutzt werden. Beispiel: Ein Online-Shop verarbeitet Kundendaten, um Bestellungen abzuwickeln. Der Shop legt selbst fest, welche Daten er erhebt, wie lange sie gespeichert werden und wofür sie verwendet werden. Das ist eine Verarbeitung für einen eigenständigen Zweck. Im Gegensatz dazu steht die Verarbeitung im Auftrag, bei der ein Dienstleister (z. B. ein Cloud-Anbieter) Daten nur nach den Vorgaben des Auftraggebers verarbeitet und keinen eigenen Zweck verfolgt. Rechtlich ist das relevant, weil der Verantwortliche (also derjenige, der für einen eigenständigen Zweck verarbeitet) besondere Pflichten nach der Datenschutz-Grundverordnung (DSGVO) hat, z. B. Informationspflichten, Rechenschaftspflichten und die Pflicht zur Umsetzung technischer und organisatorischer Maßnahmen.

Die Datenschutz-Grundverordnung (DSGVO) unterscheidet verschiedene Kategorien von Daten. Die wichtigsten Datenkategorien nach DSGVO sind: 1. **Personenbezogene Daten** Das sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Beispiele: Name, Adresse, E-Mail-Adresse, Telefonnummer, Geburtsdatum, IP-Adresse. 2. **Besondere Kategorien personenbezogener Daten** Diese werden auch als „sensible Daten“ bezeichnet und sind besonders schützenswert (Art. 9 DSGVO). Dazu gehören: - Daten über rassische und ethnische Herkunft - Politische Meinungen - Religiöse oder weltanschauliche Überzeugungen - Gewerkschaftszugehörigkeit - Genetische Daten - Biometrische Daten (zur eindeutigen Identifizierung) - Gesundheitsdaten - Daten zum Sexualleben oder zur sexuellen Orientierung 3. **Daten über strafrechtliche Verurteilungen und Straftaten** Diese Daten werden in Art. 10 DSGVO gesondert behandelt. Zusätzlich gibt es noch weitere Unterscheidungen, die im Kontext der DSGVO relevant sein können, wie z. B. **anonymisierte Daten** (nicht mehr personenbezogen) und **pseudonymisierte Daten** (personenbezogen, aber ohne direkten Bezug zur Person ohne Zusatzinformationen). Weitere Informationen findest du direkt im Gesetzestext der [DSGVO](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679).

Personenbezogene Daten der höchsten Schutzklasse sind besonders sensible Daten, deren Missbrauch für die betroffenen Personen erhebliche Risiken wie Diskriminierung, Identitätsdiebstahl oder Rufschädigung bedeuten kann. In Deutschland und der EU werden diese Daten als „besondere Kategorien personenbezogener Daten“ gemäß Art. 9 DSGVO bezeichnet. Dazu zählen insbesondere: - Daten zur rassischen und ethnischen Herkunft - Politische Meinungen - Religiöse oder weltanschauliche Überzeugungen - Gewerkschaftszugehörigkeit - Genetische Daten - Biometrische Daten (zur eindeutigen Identifizierung einer Person) - Gesundheitsdaten - Daten zum Sexualleben oder der sexuellen Orientierung Diese Daten unterliegen besonders strengen Schutzvorschriften. Ihre Verarbeitung ist grundsätzlich verboten, es sei denn, es greift eine ausdrückliche Ausnahme nach Art. 9 Abs. 2 DSGVO (z. B. ausdrückliche Einwilligung der betroffenen Person). Weitere Informationen findest du direkt bei der [Datenschutz-Grundverordnung (DSGVO)](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679).

Nein, die Angabe "Verarbeitung personenbezogener Daten gem. Gegenstand des Basisdienstleistungsvertrages" reicht in der Regel nicht aus, um den Anforderungen der Datenschutz-Grundverordnung (DSGVO) an die Genehmigung von Unterauftragsverarbeitern (Subunternehmern) zu genügen. **Begründung:** Nach Art. 28 Abs. 2 und 4 DSGVO muss der Verantwortliche dem Einsatz von Unterauftragsverarbeitern ausdrücklich zustimmen. Die Genehmigung muss sich dabei auf konkrete Unternehmen und deren konkrete Tätigkeiten beziehen. Die bloße Bezugnahme auf den "Gegenstand des Basisdienstleistungsvertrages" ist zu unbestimmt, da sie nicht erkennen lässt, welche Daten, welche Kategorien von Daten und welche Verarbeitungsvorgänge konkret betroffen sind. **Erforderlich sind insbesondere:** - Die eindeutige Benennung des Unterauftragsverarbeiters (Name, Anschrift, ggf. Kontaktdaten). - Die Beschreibung der konkreten Verarbeitungstätigkeiten, die der Unterauftragsverarbeiter übernimmt. - Die Angabe, welche Arten personenbezogener Daten und welche Kategorien betroffener Personen betroffen sind. **Fazit:** Eine pauschale Formulierung wie "gem. Gegenstand des Basisdienstleistungsvertrages" genügt nicht den Transparenz- und Informationspflichten der DSGVO. Es ist eine spezifische und nachvollziehbare Beschreibung erforderlich. **Weitere Informationen:** - [Art. 28 DSGVO – Auftragsverarbeiter](https://dsgvo-gesetz.de/art-28-dsgvo/) - [BfDI: Hinweise zu Auftragsverarbeitung](https://www.bfdi.bund.de/DE/Datenschutz/Themen/Verarbeitung-und-Weitergabe/Auftragsverarbeitung/auftragsverarbeitung-node.html)

Wenn Mitarbeiter mit personenbezogenen Daten arbeiten, sollten sie eine Vertraulichkeitsvereinbarung unterschreiben.

Die Grundsätze für die Verarbeitung personenbezogener Daten gemäß Artikel 5 der Datenschutz-Grundverordnung (DSGVO) sind: 1. **Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz**: Die Verarbeitung muss rechtmäßig sein und die betroffenen Personen müssen über die Verarbeitung informiert werden. *Beispiel*: In der Pflegepraxis muss der Pflegebedürftige vor der Erhebung seiner Daten darüber informiert werden, welche Daten gesammelt werden, zu welchem Zweck und wer Zugriff darauf hat. 2. **Zweckbindung**: Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverarbeitet werden. *Beispiel*: Die Gesundheitsdaten eines Patienten dürfen nur zur Erstellung eines Pflegeplans verwendet werden und nicht für Marketingzwecke. 3. **Datenminimierung**: Es dürfen nur die Daten verarbeitet werden, die für die jeweiligen Zwecke notwendig sind. *Beispiel*: Bei der Erfassung von Informationen für die Pflege sollte nur das erfasst werden, was für die Pflege relevant ist, wie z.B. medizinische Vorgeschichte und aktuelle Bedürfnisse, nicht jedoch persönliche Vorlieben, die nicht für die Pflege entscheidend sind. 4. **Richtigkeit**: Die Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Es sind alle angemessenen Maßnahmen zu treffen, um sicherzustellen, dass unrichtige Daten unverzüglich gelöscht oder berichtigt werden. *Beispiel*: Wenn sich die Medikation eines Patienten ändert, muss dies umgehend in den Pflegeunterlagen aktualisiert werden, um falsche Behandlungen zu vermeiden. 5. **Speicherbegrenzung**: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. *Beispiel*: Nach dem Tod eines Patienten sollten die Daten nur so lange aufbewahrt werden, wie es gesetzlich vorgeschrieben ist, z.B. für die Dokumentation oder zur Abrechnung. 6. **Integrität und Vertraulichkeit**: Die Verarbeitung muss so erfolgen, dass die Sicherheit der personenbezogenen Daten gewährleistet ist, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor Verlust, Zerstörung oder Schädigung. *Beispiel*: In der Pflegepraxis sollten alle elektronischen Patientendaten durch Passwörter und Verschlüsselung geschützt werden, um unbefugten Zugriff zu verhindern. 7. **Rechenschaftspflicht**: Der Verantwortliche ist dafür verantwortlich, dass die Grundsätze eingehalten werden, und muss dies auch nachweisen können. *Beispiel*: Eine Pflegeeinrichtung sollte regelmäßige Schulungen für das Personal zur Datenschutzrichtlinie durchführen und Dokumentationen führen, um die Einhaltung der DSGVO nachweisen zu können. Diese Grundsätze helfen dabei, die Privatsphäre und die Rechte der betroffenen Personen zu schützen und eine verantwortungsvolle Datenverarbeitung sicherzustellen.

Laut der Datenschutz-Grundverordnung (DSGVO) sind mehrere Verfahren und Maßnahmen notwendig, wenn personenbezogene Daten verarbeitet werden. Dazu gehören: 1. **Rechtsgrundlage**: Es muss eine gültige Rechtsgrundlage für die Verarbeitung vorliegen, wie Einwilligung, Vertragserfüllung, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe oder berechtigtes Interesse. 2. **Transparenz**: Betroffene Personen müssen über die Verarbeitung ihrer Daten informiert werden, einschließlich der Zwecke der Verarbeitung, der Rechtsgrundlage, der Speicherdauer und der Rechte der Betroffenen. 3. **Datenschutz-Folgenabschätzung (DSFA)**: Bei bestimmten Arten von Datenverarbeitungen, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellen, ist eine DSFA erforderlich. 4. **Technische und organisatorische Maßnahmen**: Es müssen geeignete Maßnahmen ergriffen werden, um die Sicherheit der Daten zu gewährleisten, wie z.B. Verschlüsselung, Zugriffskontrollen und regelmäßige Sicherheitsüberprüfungen. 5. **Dokumentation**: Die Verarbeitungstätigkeiten müssen dokumentiert werden, um die Einhaltung der DSGVO nachweisen zu können. 6. **Rechte der Betroffenen**: Die Rechte der betroffenen Personen, wie das Recht auf Auskunft, Berichtigung, Löschung und Widerspruch, müssen gewährleistet und respektiert werden. 7. **Meldung von Datenschutzverletzungen**: Im Falle einer Datenschutzverletzung muss diese innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden, sofern ein Risiko für die Rechte und Freiheiten der Betroffenen besteht. Diese Verfahren sind entscheidend, um den Anforderungen der DSGVO gerecht zu werden und den Schutz personenbezogener Daten sicherzustellen.