Was muss nach der DS-GVO eingehalten werden?

Für Sales Manager ist insbesondere der Artikel 6 der EU-Datenschutz-Grundverordnung (DSGVO) relevant. Dieser Artikel regelt die Rechtmäßigkeit der Verarbeitung personenbezogener Daten. Er beschreibt die verschiedenen Bedingungen, unter denen die Verarbeitung zulässig ist, wie z.B. die Einwilligung der betroffenen Person, die Erfüllung eines Vertrags oder die Wahrung berechtigter Interessen. Auch Artikel 5, der die Grundsätze der Datenverarbeitung festlegt, ist wichtig, um sicherzustellen, dass die Datenverarbeitung transparent und fair erfolgt.

Die Datenschutz-Grundverordnung (DSVO) ist eine Verordnung der Europäischen Union, die am 25. Mai 2018 in Kraft trat. Sie regelt den Schutz personenbezogener Daten und die Privatsphäre von Personen innerhalb der EU sowie den Europäischen Wirtschaftsraum. Die wichtigsten Punkte der DSGVO sind: 1. **Rechtmäßigkeit der Verarbeitung**: Personenbezogene Daten dürfen nur rechtmäßig verarbeitet werden, wenn eine der festgelegten Bedingungen erfüllt ist, wie z.B. Einwilligung, Vertragserfüllung oder rechtliche Verpflichtung. 2. **Transparenz und Informationspflichten**: Betroffene Personen müssen klar und verständlich über die Verarbeitung ihrer Daten informiert werden, einschließlich der Zwecke der Verarbeitung und der Rechte, die sie haben. 3. **Rechte der betroffenen Personen**: Die DSGVO stärkt die Rechte der Individuen, darunter das Recht auf Auskunft, Berichtigung, Löschung (Recht auf Vergessenwerden), Einschränkung der Verarbeitung und Datenübertragbarkeit. 4. **Datensicherheit**: Unternehmen sind verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. 5. **Meldung von Datenschutzverletzungen**: Im Falle einer Datenschutzverletzung müssen Unternehmen diese innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde melden, sofern die Verletzung ein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt. 6. **Datenschutz-Folgenabschätzung**: Bei bestimmten Arten von Datenverarbeitungen, die ein hohes Risiko für die Rechte und Freiheiten der Betroffenen darstellen, ist eine Datenschutz-Folgenabschätzung erforderlich. 7. **Bußgelder und Sanktionen**: Die DSGVO sieht hohe Bußgelder für Verstöße vor, die bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes eines Unternehmens betragen können, je nachdem, welcher Betrag höher ist. Die DSGVO zielt darauf ab, den Datenschutz in der digitalen Welt zu stärken und den Bürgern mehr Kontrolle über ihre persönlichen Daten zu geben.

Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, die am 25. Mai 2018 in Kraft trat. Sie regelt den Schutz personenbezogener Daten und die Privatsphäre von Personen innerhalb der EU sowie den Europäischen Wirtschaftsraum (EWR). Die wichtigsten Punkte der DSGVO sind: 1. **Recht auf Auskunft**: Betroffene Personen haben das Recht zu erfahren, welche personenbezogenen Daten über sie gespeichert sind und wie diese verwendet werden. 2. **Recht auf Berichtigung**: Personen können die Berichtigung unrichtiger oder unvollständiger Daten verlangen. 3. **Recht auf Löschung**: Auch als "Recht auf Vergessenwerden" bekannt, ermöglicht es den Betroffenen, die Löschung ihrer Daten unter bestimmten Bedingungen zu verlangen. 4. **Recht auf Einschränkung der Verarbeitung**: Personen können die Verarbeitung ihrer Daten unter bestimmten Umständen einschränken. 5. **Recht auf Datenübertragbarkeit**: Betroffene haben das Recht, ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese an einen anderen Verantwortlichen zu übertragen. 6. **Einwilligung**: Die Verarbeitung personenbezogener Daten ist nur rechtmäßig, wenn die betroffene Person ihre Einwilligung gegeben hat oder eine andere rechtliche Grundlage vorliegt. 7. **Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen**: Unternehmen müssen Datenschutzmaßnahmen bereits bei der Entwicklung von Produkten und Dienstleistungen berücksichtigen. 8. **Verstärkter Schutz für besondere Datenkategorien**: Die DSGVO sieht einen höheren Schutz für sensible Daten wie Gesundheitsdaten oder Daten über ethnische Herkunft vor. Die DSGVO hat das Ziel, den Datenschutz in der EU zu harmonisieren und den Bürgern mehr Kontrolle über ihre persönlichen Daten zu geben. Verstöße gegen die DSGVO können mit hohen Geldstrafen geahndet werden.

Die Meldung eines Datenschutzbeauftragten an die zuständige Aufsichtsbehörde für Mecklenburg-Vorpommern erfolgt in der Regel online über ein bereitgestelltes Meldeformular. **Vorgehen:** 1. **Online-Meldung:** Die Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern (LfDI M-V) stellt ein Online-Formular zur Verfügung. Dieses findest du auf der offiziellen Webseite der Behörde: [https://www.datenschutz-mv.de/datenschutzbeauftragte/meldung/](https://www.datenschutz-mv.de/datenschutzbeauftragte/meldung/) 2. **Angaben im Formular:** Im Formular werden folgende Informationen abgefragt: - Angaben zur verantwortlichen Stelle (Unternehmen, Verein, Behörde etc.) - Kontaktdaten des Datenschutzbeauftragten (Name, Anschrift, E-Mail, Telefon) - Angaben zur Erreichbarkeit des Datenschutzbeauftragten 3. **Absenden:** Nach dem Ausfüllen wird das Formular elektronisch an die Aufsichtsbehörde übermittelt. Eine Bestätigung erfolgt in der Regel per E-Mail. **Hinweis:** Die Meldung muss unverzüglich nach der Benennung des Datenschutzbeauftragten erfolgen (§ 37 Abs. 7 DSGVO). **Weitere Informationen:** Alle Details und das Meldeformular findest du direkt auf der Seite der LfDI M-V: [https://www.datenschutz-mv.de/datenschutzbeauftragte/meldung/](https://www.datenschutz-mv.de/datenschutzbeauftragte/meldung/)

Nein, frage.de oder die dahinterstehenden Betreiber kontrollieren dich nicht. Deine Fragen und Eingaben werden verarbeitet, um passende Antworten zu generieren, aber es findet keine Überwachung oder Kontrolle deiner Person statt. Die Nutzung des Dienstes unterliegt den Datenschutzbestimmungen und Nutzungsbedingungen von frage.de. Weitere Informationen findest du auf der Website von frage.de: [https://www.frage.de](https://www.frage.de).

Ein Löschkonzept beschreibt, wie personenbezogene Daten in einem Unternehmen oder einer Organisation systematisch und datenschutzkonform gelöscht werden. Es ist insbesondere im Rahmen der DSGVO (Datenschutz-Grundverordnung) wichtig. Die Erstellung eines Löschkonzepts erfolgt in mehreren Schritten: 1. **Dateninventur durchführen** Erfasse alle Systeme, Anwendungen und Speicherorte, in denen personenbezogene Daten verarbeitet werden. Dokumentiere, welche Datenarten (z. B. Name, Adresse, E-Mail) wo gespeichert sind. 2. **Rechtsgrundlagen und Aufbewahrungsfristen ermitteln** Bestimme für jede Datenart die rechtlichen Grundlagen der Verarbeitung und die jeweiligen Aufbewahrungsfristen (z. B. steuerrechtliche, handelsrechtliche oder branchenspezifische Vorgaben). 3. **Löschfristen festlegen** Leite aus den Aufbewahrungsfristen konkrete Löschfristen ab. Definiere, wann und wie Daten nach Ablauf der Frist gelöscht oder anonymisiert werden. 4. **Löschverfahren definieren** Beschreibe, wie die Löschung technisch und organisatorisch erfolgt (z. B. physische Vernichtung, Überschreiben, Anonymisierung). Berücksichtige dabei auch Backups und Archivsysteme. 5. **Verantwortlichkeiten festlegen** Bestimme, wer im Unternehmen für die Umsetzung und Überwachung der Löschprozesse verantwortlich ist. 6. **Dokumentation und Nachweisführung** Halte alle Prozesse, Fristen und Verantwortlichkeiten schriftlich fest. Sorge dafür, dass die Löschung nachweisbar ist (z. B. durch Protokolle). 7. **Regelmäßige Überprüfung und Anpassung** Überprüfe das Löschkonzept regelmäßig und passe es bei Änderungen in der Datenverarbeitung oder der Rechtslage an. **Tipp:** Ein Löschkonzept sollte möglichst einfach und verständlich formuliert sein, damit es im Alltag auch praktisch umgesetzt werden kann. **Weitere Informationen:** - [Datenschutzkonferenz: Orientierungshilfe zur Löschung personenbezogener Daten](https://www.datenschutzkonferenz-online.de/media/oh/20170516_oh_loeschung.pdf) - [DSGVO Art. 17 – Recht auf Löschung („Recht auf Vergessenwerden“)](https://dsgvo-gesetz.de/art-17-dsgvo/) Ein gut ausgearbeitetes Löschkonzept hilft, Datenschutzrisiken zu minimieren und gesetzlichen Anforderungen zu entsprechen.

Grundsätzlich unterliegen alle Servertypen dem Datenschutz, sobald sie personenbezogene Daten im Sinne der Datenschutz-Grundverordnung (DSGVO) oder des Bundesdatenschutzgesetzes (BDSG) verarbeiten. Es kommt also nicht auf den Servertyp selbst an, sondern darauf, ob und welche Daten darauf verarbeitet werden. Typische Servertypen, die häufig personenbezogene Daten verarbeiten und damit dem Datenschutz unterliegen, sind zum Beispiel: - **Mailserver** (verarbeiten E-Mails mit personenbezogenen Daten) - **Webserver** (verarbeiten z.B. IP-Adressen, Kontaktformulardaten) - **Datenbankserver** (speichern und verarbeiten personenbezogene Informationen) - **Dateiserver** (halten personenbezogene Dokumente und Dateien vor) - **Anwendungsserver** (verarbeiten Nutzerdaten im Rahmen von Softwareanwendungen) - **Cloud-Server** (hosten und verarbeiten Daten in der Cloud, oft auch personenbezogene) Auch andere Servertypen (z.B. Backup-Server, Authentifizierungsserver, Printserver) können dem Datenschutz unterliegen, wenn sie personenbezogene Daten speichern oder verarbeiten. **Fazit:** Nicht der Servertyp ist entscheidend, sondern die Art der Datenverarbeitung. Sobald ein Server personenbezogene Daten verarbeitet, gelten die Vorgaben des Datenschutzes, insbesondere der DSGVO. Weitere Informationen findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder beim [Bundesbeauftragten für den Datenschutz und die Informationsfreiheit](https://www.bfdi.bund.de/).

Nein, bei der Erhebung von Verarbeitungstätigkeiten im Sinne der Datenschutz-Grundverordnung (DSGVO) geht es nicht nur um systemgestützte (also elektronische) Verarbeitung. Die DSGVO erfasst grundsätzlich **alle Arten der Verarbeitung personenbezogener Daten**, unabhängig davon, ob sie automatisiert (z. B. durch IT-Systeme) oder nicht automatisiert (z. B. in Papierakten) erfolgt, **sofern die Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen**. Das bedeutet: Auch manuelle, papierbasierte Verarbeitungsvorgänge, bei denen personenbezogene Daten in einer strukturierten Ablage (z. B. Aktenordner, Karteikarten) geführt werden, müssen im Verzeichnis von Verarbeitungstätigkeiten dokumentiert werden. Relevant ist also nicht nur die IT-gestützte Verarbeitung, sondern jede strukturierte Verarbeitung personenbezogener Daten. Weitere Informationen findest du z. B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/media/dskb/2018_04_26_auslegung_verzeichnis_von_verarbeitungstaetigkeiten.pdf) oder direkt in [Art. 30 DSGVO](https://dsgvo-gesetz.de/art-30-dsgvo/).

Für die Erstellung eines Verarbeitungsverzeichnisses gemäß Art. 30 DSGVO können folgende Arbeitspakete sinnvoll sein: 1. **Projektvorbereitung und Zieldefinition** - Verantwortlichkeiten festlegen - Ziele und Umfang des Verzeichnisses definieren 2. **Informationssammlung** - Erhebung aller Geschäftsprozesse, in denen personenbezogene Daten verarbeitet werden - Identifikation der verantwortlichen Abteilungen und Ansprechpartner 3. **Prozesserhebung und -dokumentation** - Detaillierte Erfassung der einzelnen Verarbeitungstätigkeiten (Zweck, Kategorien betroffener Personen und Daten, Empfänger, Übermittlungen in Drittländer, Löschfristen, technische und organisatorische Maßnahmen) - Nutzung von Fragebögen oder Interviews zur Datenerhebung 4. **Strukturierung und Erstellung des Verzeichnisses** - Zusammenführung und Strukturierung der gesammelten Informationen - Erstellung des Verzeichnisses in der geforderten Form (z. B. Excel, spezielle Software) 5. **Abstimmung und Validierung** - Überprüfung der Inhalte mit den Fachabteilungen - Korrekturen und Ergänzungen einarbeiten 6. **Freigabe und Dokumentation** - Endgültige Freigabe durch die verantwortliche Stelle (z. B. Datenschutzbeauftragter) - Ablage und Sicherstellung der Verfügbarkeit für Aufsichtsbehörden 7. **Schulung und Sensibilisierung** - Information und Schulung der Mitarbeitenden über das Verarbeitungsverzeichnis und deren Mitwirkungspflichten 8. **Regelmäßige Aktualisierung** - Festlegung eines Prozesses zur regelmäßigen Überprüfung und Aktualisierung des Verzeichnisses Diese Arbeitspakete können je nach Unternehmensgröße und Komplexität angepasst werden.

Die Durchführung und die Bereitstellung von Verarbeitungstätigkeiten sind aus datenschutzrechtlicher Sicht unterschiedliche Rollen. **Durchführung von Verarbeitungstätigkeiten** bedeutet, dass eine Partei (z. B. ein Unternehmen oder ein Dienstleister) tatsächlich personenbezogene Daten verarbeitet – also erhebt, speichert, verändert, übermittelt oder löscht. Wer die Verarbeitung durchführt, ist entweder **Verantwortlicher** oder **Auftragsverarbeiter** im Sinne der Datenschutz-Grundverordnung (DSGVO). **Bereitstellung von Verarbeitungstätigkeiten** ist kein fest definierter Begriff in der DSGVO, wird aber oft so verstanden, dass eine Partei die Infrastruktur, Software oder Plattform zur Verfügung stellt, mit der andere dann personenbezogene Daten verarbeiten können. Wer lediglich die technische Möglichkeit zur Verarbeitung bereitstellt, ohne selbst über die Zwecke und Mittel der Verarbeitung zu entscheiden, ist in der Regel **Auftragsverarbeiter**. **Fazit:** - Wer die Verarbeitung **durchführt** und über Zwecke und Mittel entscheidet, ist **Verantwortlicher**. - Wer die Verarbeitung **durchführt**, aber im Auftrag und nach Weisung eines anderen, ist **Auftragsverarbeiter**. - Wer nur die technische **Bereitstellung** ermöglicht, ist meist **Auftragsverarbeiter**, kann aber im Einzelfall auch Verantwortlicher sein, wenn er eigene Zwecke verfolgt. Die Rollen sind also unterschiedlich und hängen davon ab, wer über die Zwecke und Mittel der Verarbeitung entscheidet und wie die tatsächliche Tätigkeit ausgestaltet ist. Weitere Informationen findest du direkt bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder im [Text der DSGVO](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679).