Auftragsverarbeitungsvertrag
Ein Auftragsverarbeitungsvertrag wird geschlossen zwischen dir als Verantwortlicher und einem Anbieter, der in deinem Auftrag, die personenbezogenen Daten verarbeitet.
Beispiele sind:
- Webhoster
- E-Mail-Marketing Anbieter
- Videoplattform
In diesem Vertrag werden u.a. die Verarbeitung der personenbezogenen Daten geregelt. Die Auftragsvereinbarung muss sicherstellen, dass die Verarbeitung DSGVO-konform geschieht.
Passende Blogartikel: Was ist ein Auftragsverarbeitungsvertrag? Und musst du welche abschließen?
Betroffener
Ein Betroffener ist, die Person, dessen personenbezogene Daten du verarbeitest.
Bußgeld
Aufsichtsbehörden können Bußgelder verhängen. Es gibt grob beschrieben u.a. die formellen Verstöße und die materiellen Verstöße.
- Die formellen Verstöße können bis zu 10.000.000 EUR bzw. bei Unternehmen 2% des Vorjahresumsatzes kosten. z.B. Verarbeitung von personenbezogenen Daten, für die eine Identifizierung des Betroffenen nicht notwendig ist, die Sicherheit der Verarbeitung, …
- Materielle Verstöße können bis zu 20.000.000 EUR bzw. bei Unternehmen 4% des Vorjahresumsatzes kosten. z.B. fehlerhaftes Widerspruchsrecht, fehlende Rechtmäßigkeit der Verarbeitung, …
Berücksichtigt werden dabei, u.a. Art, Schwere und Dauer des Verstoßes. Ist es vorsätzlich passiert? Oder fahrlässig?
Cookie
Cookies werden auf dem Endgerät eines z.B. Webseitenbesuchers abgelegt. Durch ein Cookie können Informationen, wie IP-Adresse, Bildschirmauflösung, eingestellte Sprache, Browser- und Betriebssystem Versionen und vieles mehr ausgelesen werden.
Cookie-Banner
Ein Cookie-Banner wird benötigt, wenn du Cookies auf deiner Webseite einbinden magst, die eine Einwilligung von deinem Webseitenbesucher benötigen. z.B. ein Facebook-Pixel, Google Analytics, …
Hingegen ist für Cookies, die für ein Login auf der Webseite benötigt werden oder Cookies für den Warenkorb, keine Einwilligung erforderlich. Dies sind sogenannte essenzielle Cookies, die für die Funktionalität deiner Webseite benötigt werden.
Double-Opt-in
Dies ist ein Prozess, der sicherstellen soll, dass ein Newsletter-Abonnent sich selbst angemeldet hat. Sobald du ein Newsletter-Anmelde-Formular als fast Newsletter-Abonnent auf der Webseite ausgefüllt und abgeschickt hast, stößt dein E-Mail-Marketing Tool die sogenannte Double-Opt-in E-Mail an. Der fast Newsletter-Abonnent erhält dann eine E-Mail, in der er konkret einwilligt, den Newsletter haben zu wollen. Klickt er auf den Bestätigungs-Button oder -link ist der fast Newsletter-Abonnent auf der E-Mail-Liste. Bestätigt er die Double-Opt-in E-Mail nicht, hat er dir keine Einwilligung gegeben, darf somit auch nicht angeschrieben werden.
Datenschutzbeauftragter
Ein Datenschutzbeauftragter berät den Verantwortlichen datenschutzrechtlich und überwacht die Einhaltung der Datenschutzvorgaben. Er kann Beschäftigter (interner Mitarbeiter) oder ein externer Dienstleister sein.
Drittland
Zu den sicheren Drittländern gehören aktuell (01. Mai 2022):
- Andorra,
- Argentinien,
- Kanada (nur kommerzielle Organisationen),
- Färöer,
- Guernsey,
- Israel,
- Isle of Man,
- Jersey,
- Neuseeland,
- Schweiz,
- Uruguay,
- Japan,
- das Vereinigte Königreich und
- Südkorea.
- Norwegen, Liechtenstein und Island als Teil des Europäischen Wirtschaftsraums ebenso.
Die Datenübermittlung in diese Länder ist erlaubt.
Zu den unsicheren Drittländern zählen alle Länder, deren nationalen Gesetzte nicht mit dem EU-Recht zur Verarbeitung personenbezogenen Daten gleichgestellt werden können. z.B. die USA, durch den Wegfall des Privacy Shields im Jahr 2020.
DSGVO
Ist die Abkürzung für Datenschutzgrundverordnung.
Einwilligung
Es gilt das Verbot mit Erlaubnisvorbehalt. Personenbezogene Daten dürfen grundsätzlich nicht verarbeitet werden. Außer, du erhältst z.B. eine Einwilligung des Betroffenen oder es gibt eine gesetzliche Erlaubnis.
Für die Verarbeitung besonderer Kategorien sind zusätzliche Anforderungen notwendig.
Grundsätze der DSGVO
Folgende Grundsätze gilt für die DSGVO:
- Rechtmäßigkeit,
- Transparenz,
- Zweckbindung,
- Datenminimierung,
- Richtigkeit der Daten,
- Speicherbegrenzung,
- Integrität und Vertraulichkeit,
- Rechenschaftspflicht.
Marktortprinzip
Das Marktortprinzip beschreibt einen räumlichen Anwendungsbereich. Wenn ein Unternehmen mit Sitz im Ausland (= nicht EU-Land) Waren und Dienstleistungen in die EU verkauft (auch unentgeltlich!), gilt das Marktortprinzip. Das Unternehmen muss sich an die Gesetze des jeweiligen Ziel-Landes halten und somit die Anforderungen der DSGVO umsetzen.
Nachweispflicht
Du hast eine Rechenschaftspflicht und musst nachweisen können, dass du eine Einwilligung für die konkrete Verarbeitung (und auch nur für den konkreten Zweck!) der personenbezogenen Daten des Betroffenen erhalten hast.
Öffnungsklauseln
Die DSGVO gilt für alle europäischen Länder. Es gibt Klauseln, wie z.B.:
- Maßnahmen der Strafverfolgung,
- die Einwilligung von Kindern in Bezug auf die Altersgrenze,
- Befugnisse der Aufsichtsbehörden und
- Sanktionen, die über eine Geldbuße hinausgeht, wie Freiheitsstrafen
die im nationalen Datenschutzgesetz des Mitgliedsstaats selbst (teilweise) geregelt werden dürfen und sich somit von anderen europäischen Ländern unterscheiden können.
Personenbezogene Daten
Das sind Daten, die sich auf eine Person beziehen. Beispiele sind:
- Name,
- Anschrift,
- Geburtsdatum,
- Telefonnummer,
- Personalnummer,
- Foto,
- Benutzerkennung,
- Nutzungsverhalten, …
Es gibt auch noch besondere Kategorien personenbezogener Daten, die durch das Gesetz einen besonderen Schutz erfahren.
Besondere Kategorien sind z.B.
- Gesundheitsdaten,
- die ethnische Herkunft,
- politische Meinungen,
- religiöse Überzeugungen,
- genetische Daten,
- biometrische Daten.
Passende Blogartikel: Was sind personenbezogene Daten? Und warum solltest du dich jetzt darum kümmern.
Privacy Shield
Das Privacy Shield war ein Angemessenheitsbeschluss, mit dem 2016 beschlossen wurde, dass die USA ein angemessenes Schutzniveau für die Daten der betroffenen Personen hatte. Dies ermöglichte die Übermittlung der Daten in die USA. Das ist aber durch das Schrems II Urteil in 2020 gekippt worden.
TOMs
Das sind technisch / organisatorische Maßnahmen. Die TOMs werden im Zusammenhang mit dem Verzeichnis der Verarbeitungstätigkeiten aufgestellt und stellen sicher, dass die Daten sicher verarbeitet werden.
Verantwortlicher
Wenn du selbstständig bist oder ein kleines Unternehmen hast, kannst du sicher davon ausgehen, dass du der Verantwortliche im Sinne der DSGVO bist. Du entscheidest über das Warum und Wie, wenn du personenbezogene Daten verarbeitest.
Verarbeitung
Eine Verarbeitung von Daten liegt dann vor, wenn diese
- erhoben,
- erfasst,
- organisiert,
- geordnet,
- gespeichert,
- angepasst,
- verändert,
- ausgelesen,
- abgefragt,
- verwendet,
- durch Übermittlung offengelegt,
- verbreitet,
- abgeglichen,
- verknüpft,
- eingeschränkt,
- gelöscht oder
- vernichtet wird.
Du siehst, es gibt eine ganze Menge an Verarbeitungsmöglichkeiten.
Suchst du noch einen Begriff und findest in hier nicht? Dann schreib mir gerne eine Nachricht.