Letzte Änderung: 02.10.2024
Als verantwortliche Stelle – gemäß DSGVO nun kurz "Verantwortlicher" - bezeichnete man im Datenschutz die Stelle, die Daten über eine Person zu eigenen Geschäftszwecken erhebt und nutzt. Sie wurde in der Praxis häufig auch als "Herr der Daten" bezeichnet.
Laut DSGVO ist Verantwortlicher jeder (natürliche oder juristische Personen, Behörden, Vereine und Verbände oder auch alle privatwirtschaftlichen Unternehmen), der allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Dabei bedeutet Verarbeitung bereits das Erheben und Erfassen von Daten.
Weitere Verarbeitungsmöglichkeiten sind die Organisation, das Ordnen, die Speicherung, Anpassung oder Veränderung, das Auslesen, Abfragen, Verwendung sowie Offenlegung durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, sowie das Löschen bzw. die Vernichtung der Daten.
Das Verfahrensverzeichnis soll grundsätzlich die Datenverarbeitung einer verantwortlichen Stelle nach innen und außen transparent machen. Es dient der Überwachung der ordnungsgemäßen Datenverarbeitung, z.B. durch die entsprechende Aufsichtsbehörde und durch die Öffentlichkeit, sofern der einzelne Bürger seine eigene Verantwortung im Umgang mit personenbezogenen Daten erkannt hat und aktiv wahrnimmt.
Im alten BDSG waren das öffentliche Verfahrensverzeichnis und das interne Verfahrensverzeichnis oder Verfahrens-Register vorgesehen.
In der DSGVO entfällt das öffentliche Verfahrensverzeichnis komplett. An seine Stelle treten die nun umfangreichere Informationspflichten der Verantwortlichen gegenüber allen Gruppen betroffener Personen.
Das interne Verfahrensverzeichnis wurde durch das Verzeichnis der Verarbeitungstätigkeiten ersetzt. In erster Linie also eine Begriffsänderung. Inhaltlich findet man viele Gemeinsamkeiten mit dem alten Verfahrensverzeichnis.
„Gemäß § 3 Bundesverfassungsschutzgesetz (BVerfSchG) hat das BfV gemeinsam mit den Landesbehörden für Verfassungsschutz (LfV) "Auskünfte, Nachrichten und sonstige Unterlagen" zu sammeln und auszuwerten über
1. Bestrebungen, die
2. geheimdienstliche Tätigkeiten für eine fremde Macht (Spionagebekämpfung).
3. Ferner wirkt das BfV nach § 3 Abs. 2 BVerfSchG beim Geheim- und Sabotageschutz mit.
Den weitaus größten Teil seiner Informationen gewinnt der Verfassungsschutz aus offenen, allgemein zugänglichen Quellen - also aus Druckerzeugnissen wie Zeitungen, Flugblättern, Programmenund Aufrufen. Mitarbeiter des Bundesamtes besuchen öffentliche Veranstaltungen und sie befragen auch Personen, die sachdienliche Hinweise geben können. Bei diesen Gesprächen auf freiwilliger Basis treten die Mitarbeiter des BfV offen auf. Auch die Sammlungmit nachrichtendienstlichen Mitteln ist unverzichtbar. Dazu gehört das Führen von V-Leuten (angeworbene Personen aus der extremistischen Szene, keine Mitarbeiter der Verfassungsschutzbehörden) in extremistischen Kreisen, die getarnte Observation und ggf. die genehmigungspflichtige und von einem parlamentarischen Gremium kontrollierte Brief- und Telefonüberwachung. Der Verfassungsschutz ist an die Regeln des Rechts und der
Verhältnismäßigkeit gebunden.“ Quelle: http://www.verfassungsschutz.de/de/das_bfv/waswirtun/was_genau.html (16.06.08)
Eine Datenschutzpanne bzw. ein Datenschutzvorfall liegen dann vor, wenn die Sicherheit der Daten in den Bereichen Vertraulichkeit, Integrität und/oder Verfügbarkeit kompromittiert wurde.
Dies gilt unabhängig davon, ob die Panne / der Vorfall unbeabsichtigt oder unrechtmäßig, z.B. durch Diebstahl, verursacht wurden und zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von, bzw. zum unbefugten Zugang zu personenbezogenen Daten geführt haben.
Nach dem Grundgesetz, Artikel 2 Abs. 1 in Verbindung mit Artikel 1 Abs. 1 GG, haben alle Bundesbürger ein verbrieftes Recht auf Privatsphäre. Hierzu gehören unter anderem auch einRecht auf Vertraulichkeit der Informationen, die sie als Person und ihre persönlichen Umstände betreffen, sowie die Integrität ihrer Daten und der Daten erhebenden Stelle. Integrität meint in diesem Zusammenhang die Vollständigkeit und Korrektheit der erfassten Informationen, nicht die Charaktereigenschaft.
Die DSGVO gilt für alle Unternehmen, die in der EU Dienste oder Produkte anbieten oder das Verhalten von Personen in der EU beobachten und zwar auch dann, wenn sie in der EU keine Niederlassung haben. In diesem Fall muss jeder und jedes Unternehmen eine in der EU ansässige natürliche oder juristische Person schriftlich bestellen, die das Unternehmen in Bezug auf die nach dieser Verordnung obliegenden Pflichten vertritt. Diese Regelung gilt für Verantwortliche und Auftragsverarbeiter gleichermaßen.
Es ist zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
Die DSGVO unterscheidet einige Formen der Datenverwendung: Erhebung, Organisation, Speicherung, Veränderung, Nutzung (z.B. Verwendung durch das Auslesen oder Abfragen) und Offenlegung z.B. durch Übermittlung. Ein Abgleich oder eine Verknüpfung von Daten, das Löschen und sogar das zufällige Mitlesen oder Mithören personenbezogener Informationen ist als Datenverarbeitung zu verstehen.
Erhebung ist die Beschaffung personenbezogener Daten, diese hat in der Regel beim Betroffenen selbst zu erfolgen. Ist dies nicht möglich, ist er zumindest im Nachhinein zu informieren. Die Erfüllung der Informationspflichten nach Artt. 13 und 14 DSGVO hat unmittelbar zum Zeitpunkt der Datenerhebung zu erfolgen.
Generell ist jegliche Verwendung nur zur Erfüllung einer konkreten Aufgabe bzw. nur für den Zweck, für den Personendaten erhobenen wurden, zulässig. Auch hier muss üblicher Weise der Betroffene zugestimmt haben - mit wenigen Ausnahmen.
Sehen Sie ggf. auch grenzüberschreitende Verarbeitung.
Nach Erwägungsgrund 82 DSGVO sollte der Verantwortliche und/oder der Auftragsverarbeiter zum Nachweis der Einhaltung der DSGVO ein Verzeichnis der Verarbeitungstätigkeiten führen, die seiner Zuständigkeit unterliegen.
Das Verzeichnis der Verarbeitungstätigkeiten soll dabei grundsätzlich die Datenverarbeitung einer verantwortlichen Stelle oder eines Auftragsverarbeiters intern transparent machen. Das Verzeichnis muss schriftlich – auch in elektronischer Form - geführt werden und ist auf Anfrage der Aufsichtsbehörde vorzulegen.
Die inhaltliche Gestaltung der Verarbeitungstätigkeiten ist in Art. 30 DSGVO detailliert beschrieben. Sie enthält Angaben über die Zwecke der Verarbeitung, eine Beschreibung der Kategorien der personenbezogenen Daten, der betroffenen Personen(Gruppen) und der Empfänger sowie die Beschreibung der technischen und organisatorischen Maßnahmen.
Für Stellen, die bereits unter BDSG über alt ein strukturiertes Verfahrensverzeichnis verfügten, dürfte das Verzeichnis der Verarbeitungstätigkeiten keine großen Probleme darstellen.
So genannte Antivirenprogramme haben die Aufgabe, bekannte Computerviren, Trojanische Pferde und PC-Würmer auf dem Computer zu lokalisieren, blockieren und gegebenfalls zu löschen. Der Virenschutz ist nur dann einigermaßen zuverlässig, wenn das Programm ständig aktualisiert wird, da quasi ständig neue Schadsoftware irgendwo im Internet zutage tritt. Hier empfiehlt sich ein automatisches Update in den Programmeinstellungen zu wählen.
"Voice over IP" ist eine Technologie, um Sprache über Datennetzwerke in Echtzeit zu übertragen. Mit "IP" ist die Abkürzung des Internet Protokolls gemeint, das sowohl in lokalen Computernetzen, als auch im Internet zur Datenübertragung eingesetzt wird. Der Begriff "IP-Telefonie" wird verwendet, wenn Voice over IP-Technik auch im Endgerät eingesetzt wird, so dass der Gesprächsteilnehmer selbst das IP-Netz zum Telefonieren nutzt. Die Vergabe von Festnetzrufnummern für die Kunden von Internet-Diensten für VoIP wird von der Regulierungsbehörde für Telekommunikation und Post (Reg TP) reguliert.
bfdi. bund.de - " Eingriffe in das Recht auf informationelle Selbstbestimmung nur auf der Grundlage eines Gesetzes, das auch dem Datenschutz Rechnung trägt (Volkszählungsurteil) (BVerfg)"
http://www.bundesverfassungsgericht.de/SharedDocs/Pressemitteilungen/DE/2008/bvg08-106.html