Was bedeutet die Verarbeitung personenbezogener Daten für einen eigenständigen Zweck?

Laut der Datenschutz-Grundverordnung (DSGVO) sind mehrere Verfahren und Maßnahmen notwendig, wenn personenbezogene Daten verarbeitet werden. Dazu gehören: 1. **Rechtsgrundlage**: Es muss eine gültige Rechtsgrundlage für die Verarbeitung vorliegen, wie Einwilligung, Vertragserfüllung, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe oder berechtigtes Interesse. 2. **Transparenz**: Betroffene Personen müssen über die Verarbeitung ihrer Daten informiert werden, einschließlich der Zwecke der Verarbeitung, der Rechtsgrundlage, der Speicherdauer und der Rechte der Betroffenen. 3. **Datenschutz-Folgenabschätzung (DSFA)**: Bei bestimmten Arten von Datenverarbeitungen, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellen, ist eine DSFA erforderlich. 4. **Technische und organisatorische Maßnahmen**: Es müssen geeignete Maßnahmen ergriffen werden, um die Sicherheit der Daten zu gewährleisten, wie z.B. Verschlüsselung, Zugriffskontrollen und regelmäßige Sicherheitsüberprüfungen. 5. **Dokumentation**: Die Verarbeitungstätigkeiten müssen dokumentiert werden, um die Einhaltung der DSGVO nachweisen zu können. 6. **Rechte der Betroffenen**: Die Rechte der betroffenen Personen, wie das Recht auf Auskunft, Berichtigung, Löschung und Widerspruch, müssen gewährleistet und respektiert werden. 7. **Meldung von Datenschutzverletzungen**: Im Falle einer Datenschutzverletzung muss diese innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden, sofern ein Risiko für die Rechte und Freiheiten der Betroffenen besteht. Diese Verfahren sind entscheidend, um den Anforderungen der DSGVO gerecht zu werden und den Schutz personenbezogener Daten sicherzustellen.

Wenn Daten in Bosnien verarbeitet werden, sind mehrere rechtliche und organisatorische Aspekte zu beachten: 1. **Datenschutzrechtliche Vorschriften in Bosnien:** Bosnien und Herzegowina hat eigene Datenschutzgesetze, insbesondere das „Gesetz zum Schutz personenbezogener Daten“ (Zakon o zaštiti ličnih podataka). Unternehmen oder Organisationen, die Daten in Bosnien verarbeiten, müssen diese lokalen Vorschriften einhalten. 2. **Übermittlung aus der EU/EWR:** Wenn personenbezogene Daten aus der EU oder dem EWR nach Bosnien übermittelt werden, ist zu beachten, dass Bosnien kein Land mit einem von der EU anerkannten angemessenen Datenschutzniveau ist. Daher sind zusätzliche Maßnahmen erforderlich, z. B.: - Abschluss von Standardvertragsklauseln (SCC) der EU-Kommission, - Durchführung einer Transfer Impact Assessment (TIA), - ggf. zusätzliche technische und organisatorische Maßnahmen. 3. **Vertragliche Regelungen:** Es sollten klare Verträge mit dem Dienstleister oder Partner in Bosnien bestehen, die Datenschutz und Datensicherheit regeln. 4. **Informationspflichten:** Betroffene Personen müssen über die Datenverarbeitung und die Übermittlung ins Ausland informiert werden. 5. **Datensicherheit:** Es sind angemessene technische und organisatorische Maßnahmen zum Schutz der Daten zu treffen. 6. **Meldung an Behörden:** In manchen Fällen kann eine Meldung an die Datenschutzbehörde in Bosnien oder im Ursprungsland erforderlich sein. **Fazit:** Die Verarbeitung von Daten in Bosnien erfordert die Einhaltung sowohl der lokalen Datenschutzgesetze als auch – bei Datenübermittlung aus der EU/EWR – der Vorgaben der DSGVO für Drittlandtransfers. Es empfiehlt sich, rechtlichen Rat einzuholen und die Prozesse sorgfältig zu dokumentieren. Weitere Informationen: - [Datenschutzagentur Bosnien und Herzegowina (AZLP)](https://www.azlp.ba/) - [EU-Standardvertragsklauseln (SCC)](https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_de)

Die Begriffe „Verarbeitungsbefugter“, „Unterstellter“ und „Auftragsverarbeiter“ stammen aus dem Datenschutzrecht, insbesondere im Zusammenhang mit der Datenschutz-Grundverordnung (DSGVO). Hier die Unterschiede: **1. Verarbeitungsbefugter (Verantwortlicher):** Das ist die Person oder Organisation, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sie bestimmt also, warum und wie Daten verarbeitet werden. Im Sinne der DSGVO ist das der „Verantwortliche“ (Art. 4 Nr. 7 DSGVO). Beispiel: Ein Unternehmen, das Kundendaten für eigene Zwecke verarbeitet. **2. Unterstellter (Mitarbeiter):** Das sind Personen, die im Auftrag des Verantwortlichen handeln, also z.B. Angestellte oder Mitarbeiter. Sie verarbeiten Daten nur auf Weisung des Verantwortlichen und sind diesem unterstellt. Sie sind keine eigenständigen Akteure im Sinne der DSGVO, sondern Teil der Organisation des Verantwortlichen. **3. Auftragsverarbeiter:** Das ist eine externe Person oder Organisation, die personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen verarbeitet (Art. 4 Nr. 8 DSGVO). Der Auftragsverarbeiter entscheidet nicht selbst über die Zwecke und Mittel der Verarbeitung, sondern handelt ausschließlich im Auftrag des Verantwortlichen. Beispiel: Ein externer IT-Dienstleister, der Kundendaten für ein Unternehmen speichert oder verarbeitet. **Zusammengefasst:** - **Verantwortlicher (Verarbeitungsbefugter):** Entscheidet über das „Warum“ und „Wie“ der Datenverarbeitung. - **Unterstellter:** Handelt innerhalb der Organisation des Verantwortlichen, auf dessen Weisung. - **Auftragsverarbeiter:** Externer Dienstleister, der Daten im Auftrag des Verantwortlichen verarbeitet. Weitere Informationen findest du direkt bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder im [Text der DSGVO](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679).

Ja, eine handschriftliche Unterschrift gilt als besonderes personenbezogenes Datum im Sinne der Datenschutz-Grundverordnung (DSGVO), wenn sie Rückschlüsse auf besondere Kategorien personenbezogener Daten zulässt, wie z. B. biometrische Daten zur eindeutigen Identifizierung einer Person (Art. 9 DSGVO). Im Allgemeinen ist die Unterschrift ein personenbezogenes Datum, da sie eine Person identifizierbar macht. Sie wird dann zu einem besonderen personenbezogenen Datum, wenn sie z. B. im Rahmen einer biometrischen Auswertung (z. B. durch Analyse des Schreibverhaltens oder der Unterschriftsdynamik) verwendet wird, um eine Person eindeutig zu identifizieren. In diesem Fall handelt es sich um biometrische Daten im Sinne von Art. 4 Nr. 14 DSGVO. Wird die Unterschrift jedoch nur als Namenszug verwendet, ohne biometrische Auswertung, ist sie in der Regel kein besonderes personenbezogenes Datum, sondern „nur“ ein personenbezogenes Datum. Weitere Informationen findest du z. B. beim [BfDI](https://www.bfdi.bund.de/DE/Service/FAQ/FAQ-Datenschutz/faq-datenschutz-node.html) oder bei der [DSGVO selbst](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679).

Der Begriff „Verarbeitung“ im Sinne der DSGVO (Datenschutz-Grundverordnung) ist in Art. 4 Nr. 2 DSGVO definiert. Verarbeitung bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang im Zusammenhang mit personenbezogenen Daten. Dazu gehören insbesondere das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Kurz gesagt: Verarbeitung umfasst praktisch jeden Umgang mit personenbezogenen Daten, von der Erhebung bis zur Löschung.

Die Datenschutz-Grundverordnung (DSGVO) sieht in Art. 6 Abs. 1 sechs zentrale Rechtsgrundlagen für die Zulässigkeit der Verarbeitung personenbezogener Daten vor. Eine Verarbeitung ist nur dann rechtmäßig, wenn mindestens eine der folgenden Bedingungen erfüllt ist: 1. **Einwilligung** (Art. 6 Abs. 1 lit. a DSGVO): Die betroffene Person hat ihre freiwillige, informierte und unmissverständliche Einwilligung zur Verarbeitung ihrer personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben. 2. **Vertragserfüllung** (Art. 6 Abs. 1 lit. b DSGVO): Die Verarbeitung ist zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen. 3. **Rechtliche Verpflichtung** (Art. 6 Abs. 1 lit. c DSGVO): Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt. 4. **Lebenswichtige Interessen** (Art. 6 Abs. 1 lit. d DSGVO): Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen. 5. **Wahrnehmung einer Aufgabe im öffentlichen Interesse oder Ausübung öffentlicher Gewalt** (Art. 6 Abs. 1 lit. e DSGVO): Die Verarbeitung ist zur Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. 6. **Berechtigte Interessen** (Art. 6 Abs. 1 lit. f DSGVO): Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Weitere Informationen findest du direkt im [Wortlaut von Art. 6 DSGVO](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679).

Die Datenschutz-Grundverordnung (DSGVO) nennt verschiedene Zwecke der Verarbeitung personenbezogener Daten, legt aber keine abschließende Liste fest. Grundsätzlich versteht die DSGVO unter „Zweck der Verarbeitung“ den Grund, warum personenbezogene Daten erhoben und verarbeitet werden. Die wichtigsten Zwecke ergeben sich aus Art. 6 Abs. 1 DSGVO, der die Rechtmäßigkeit der Verarbeitung regelt. Typische Zwecke sind: 1. **Vertragserfüllung** Verarbeitung ist erforderlich, um einen Vertrag zu erfüllen oder vorvertragliche Maßnahmen durchzuführen (z. B. Kaufabwicklung, Dienstleistungsvertrag). 2. **Erfüllung einer rechtlichen Verpflichtung** Verarbeitung ist notwendig, um gesetzlichen Pflichten nachzukommen (z. B. Aufbewahrungspflichten, Meldepflichten). 3. **Wahrung berechtigter Interessen** Verarbeitung dient den berechtigten Interessen des Verantwortlichen oder eines Dritten, sofern nicht die Interessen oder Grundrechte der betroffenen Person überwiegen (z. B. Direktwerbung, IT-Sicherheit). 4. **Einwilligung** Verarbeitung erfolgt auf Grundlage einer freiwilligen, informierten und unmissverständlichen Einwilligung der betroffenen Person (z. B. Newsletter-Versand). 5. **Schutz lebenswichtiger Interessen** Verarbeitung ist notwendig, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen (z. B. medizinische Notfälle). 6. **Wahrnehmung einer Aufgabe im öffentlichen Interesse oder Ausübung öffentlicher Gewalt** Verarbeitung ist erforderlich, um eine Aufgabe zu erfüllen, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt (z. B. behördliche Tätigkeiten). Jede Verarbeitung personenbezogener Daten muss einem klar definierten Zweck dienen, der vorab festgelegt und dokumentiert wird (Zweckbindung, Art. 5 Abs. 1 lit. b DSGVO). Weitere Informationen findest du direkt im Gesetzestext: [DSGVO – Art. 6 Rechtmäßigkeit der Verarbeitung](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679)

Die Datenschutz-Grundverordnung (DSGVO) unterscheidet verschiedene Kategorien von Daten. Die wichtigsten Datenkategorien nach DSGVO sind: 1. **Personenbezogene Daten** Das sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Beispiele: Name, Adresse, E-Mail-Adresse, Telefonnummer, Geburtsdatum, IP-Adresse. 2. **Besondere Kategorien personenbezogener Daten** Diese werden auch als „sensible Daten“ bezeichnet und sind besonders schützenswert (Art. 9 DSGVO). Dazu gehören: - Daten über rassische und ethnische Herkunft - Politische Meinungen - Religiöse oder weltanschauliche Überzeugungen - Gewerkschaftszugehörigkeit - Genetische Daten - Biometrische Daten (zur eindeutigen Identifizierung) - Gesundheitsdaten - Daten zum Sexualleben oder zur sexuellen Orientierung 3. **Daten über strafrechtliche Verurteilungen und Straftaten** Diese Daten werden in Art. 10 DSGVO gesondert behandelt. Zusätzlich gibt es noch weitere Unterscheidungen, die im Kontext der DSGVO relevant sein können, wie z. B. **anonymisierte Daten** (nicht mehr personenbezogen) und **pseudonymisierte Daten** (personenbezogen, aber ohne direkten Bezug zur Person ohne Zusatzinformationen). Weitere Informationen findest du direkt im Gesetzestext der [DSGVO](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679).

Personenbezogene Daten der höchsten Schutzklasse sind besonders sensible Daten, deren Missbrauch für die betroffenen Personen erhebliche Risiken wie Diskriminierung, Identitätsdiebstahl oder Rufschädigung bedeuten kann. In Deutschland und der EU werden diese Daten als „besondere Kategorien personenbezogener Daten“ gemäß Art. 9 DSGVO bezeichnet. Dazu zählen insbesondere: - Daten zur rassischen und ethnischen Herkunft - Politische Meinungen - Religiöse oder weltanschauliche Überzeugungen - Gewerkschaftszugehörigkeit - Genetische Daten - Biometrische Daten (zur eindeutigen Identifizierung einer Person) - Gesundheitsdaten - Daten zum Sexualleben oder der sexuellen Orientierung Diese Daten unterliegen besonders strengen Schutzvorschriften. Ihre Verarbeitung ist grundsätzlich verboten, es sei denn, es greift eine ausdrückliche Ausnahme nach Art. 9 Abs. 2 DSGVO (z. B. ausdrückliche Einwilligung der betroffenen Person). Weitere Informationen findest du direkt bei der [Datenschutz-Grundverordnung (DSGVO)](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679).

Nein, die Angabe "Verarbeitung personenbezogener Daten gem. Gegenstand des Basisdienstleistungsvertrages" reicht in der Regel nicht aus, um den Anforderungen der Datenschutz-Grundverordnung (DSGVO) an die Genehmigung von Unterauftragsverarbeitern (Subunternehmern) zu genügen. **Begründung:** Nach Art. 28 Abs. 2 und 4 DSGVO muss der Verantwortliche dem Einsatz von Unterauftragsverarbeitern ausdrücklich zustimmen. Die Genehmigung muss sich dabei auf konkrete Unternehmen und deren konkrete Tätigkeiten beziehen. Die bloße Bezugnahme auf den "Gegenstand des Basisdienstleistungsvertrages" ist zu unbestimmt, da sie nicht erkennen lässt, welche Daten, welche Kategorien von Daten und welche Verarbeitungsvorgänge konkret betroffen sind. **Erforderlich sind insbesondere:** - Die eindeutige Benennung des Unterauftragsverarbeiters (Name, Anschrift, ggf. Kontaktdaten). - Die Beschreibung der konkreten Verarbeitungstätigkeiten, die der Unterauftragsverarbeiter übernimmt. - Die Angabe, welche Arten personenbezogener Daten und welche Kategorien betroffener Personen betroffen sind. **Fazit:** Eine pauschale Formulierung wie "gem. Gegenstand des Basisdienstleistungsvertrages" genügt nicht den Transparenz- und Informationspflichten der DSGVO. Es ist eine spezifische und nachvollziehbare Beschreibung erforderlich. **Weitere Informationen:** - [Art. 28 DSGVO – Auftragsverarbeiter](https://dsgvo-gesetz.de/art-28-dsgvo/) - [BfDI: Hinweise zu Auftragsverarbeitung](https://www.bfdi.bund.de/DE/Datenschutz/Themen/Verarbeitung-und-Weitergabe/Auftragsverarbeitung/auftragsverarbeitung-node.html)