UVW

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | UVW | XYZ

 

Verarbeitungsübersicht

Die verantwortliche Stelle ist gemäß § 4g Abs. 2 BDSG verpflichtet eine Übersicht der Verfahren zur Verarbeitung personenbezogener Daten zu erstellen und dem Datenschutzbeauftragten zur Verfügung zu stellen. Der Datenschutzbeauftragte erstellt daraus das Jedermannverzeichnis. Die Erstellung der Verarbeitungsübersicht kann von der verantwortlichen Stelle z.B. an den Datenschutzbeauftragten delegiert werden. In der Praxis erstellt daher der Datenschutzbeauftragte die Verarbeitungsübersicht und das Jedermannverzeichnis in der Regel selbst.
Der Inhalt der Verarbeitungsübersicht ergibt sich aus § 4e BDSG. Die Verarbeitungsübersicht muss danach folgende Angaben enthalten:

  • Name oder Firma der verantwortlichen Stelle,
  • Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Datenverarbeitung beauftragten Personen,
  • Anschrift der verantwortlichen Stelle,
  • Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung,
  • eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien,
  • Empfänger oder Kategorien von Empfängern, denen Daten mitgeteilt werden können,
  • Regelfristen für die Löschung der Daten,
  • eine geplante Datenübermittlung in Drittstaaten,
  • eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 BDSG (technisch-organisatorische Maßnahmen) zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind.

Verfahrensverzeichnis

Siehe Jedermannverzeichnis.

Verschlüsselung

Verschlüsselung dient dem Schutz der Vertraulichkeit von Daten und ist eine sehr wichtige Maßnahme zur Erfüllung der gesetzlichen Anforderungen an den Datenschutz und die IT-Sicherheit. Als einzige konkrete Maßnahme wird sie im TOM-Katalog des BDSG ausdrücklich erwähnt und damit besonders hervorgehoben (siehe S. 2 der Anlage zu § 9 S. 1 BDSG). Diese Formulierung wird auch im aktuellen Entwurf eines IT-Sicherheitsgesetzes in Bezug auf die durch Webseitenbetreiber zu treffenden Maßnahmen aufgegriffen (siehe Entwurf des § 13 Abs. 7 S. 2 TMG).

Verschlüsselung kann an vielen Stellen bei der Datenverarbeitung eingesetzt werden, z.B. bei der Übertragung (z.B. TLS/SSL, etwa im Rahmen von https-Websites oder VPN-Fernzugängen) oder bei der Speicherung/Archivierung (z.B. Verschlüsselung von Datenträgern per Truecrypt, Bitlocker, FileVault etc.).

Verschlüsselung ist als Datensicherheitsmaßnahme grundsätzlich sinnvoll. Unabhängig davon stellt sich aber datenschutzrechtlich die wichtige Frage, ob und unter welchen Voraussetzungen eine Verschlüsselung zur Aufhebung des Personenbezugs führt – und damit zur Unanwendbarkeit des Datenschutzvorschriften. Dabei gilt zunächst, dass die Verschlüsselung personenbezogener Daten datenschutzrechtlich einer Pseudonymisierung entspricht. Denn ebenso wie pseudonymisierte Daten nur mit der Kenntnis der Zuordnungsregel (von den Pseudonymen zu den Personen) auflösbar sind, sind verschlüsselte Daten nur mit dem Schlüssel verständlich (vorausgesetzt, die Verschlüsselung ist hinreichend stark).

Für verschlüsselte Daten gelten damit die gleichen Grundsätze wie für pseudonymisierte Daten – deren Behandlung ist allerdings unter Datenschutzrechtlern umstritten. Ungeklärt ist insbesondere, ob pseudonymisierte (verschlüsselte) Daten durch Dritte, die die Zuordnungsregel (den Schlüssel) nicht kennen können, uneingeschränkt verarbeitet werden dürfen (dafür z.B. Weichert in DKKW, 4. Aufl., § 3 BDSG Rn. 53), oder ob auch in diesem Fall die Beschränkungen des BDSG gelten (dafür grundsätzlich Buchner in Taeger/Gabel, 2. Aufl., § 3 BDSG Rn. 50). Aus diesen unterschiedlichen Sichtweisen ergibt sich leider eine erhebliche Rechtsunsicherheit. Schon deshalb sollte jeder Einsatz von Verschlüsselung mit dem Ziel, den Verarbeitungsbeschränkungen des BDSG zu entgehen, sorgfältig rechtlich (und ggf. technisch) geprüft werden.

Vorabkontrolle

Gemäß § 4d BDSG besteht eine Pflicht zur Vorabkontrolle durch den Datenschutzbeauftragten für Verfahren, die besondere Gefahren für die Rechte und Freiheiten der Betroffenen aufweisen. Dies sind insbesondere Verfahren zur Verarbeitung besonderer personenbezogener Daten gemäß § 3 Abs. 9 BDSG und Verfahren zur Bewertung der Persönlichkeit der Betroffenen. Zur Durchführung der Vorabkontrolle sollte die verantwortliche Stelle den Datenschutzbeauftragten über die geplante Einführung des Verfahrens informieren, damit dieser dann die Vorabkontrolle durchführt. Vorabkontrollpflichtige Verfahren sind z.B. Videoüberwachung, Verfahren zur Erstellung personalisierter Kundenprofile oder Skilldatenbanken.

Videoüberwachung

Videoüberwachung ist eine günstige und technisch ausgereifte Möglichkeit der Überwachung. Sie wird von Unternehmen unter anderem zur Sicherung von Verkaufsräumen, zur Überwachung von Produktionsprozessen oder zur Gebäudesicherung genutzt. In öffentlich zugänglichen Bereichen ist die Videoüberwachung gemäß § 6b BDSG zur Aufgabenerfüllung öffentlicher Stellen, zur Wahrnehmung des Hausrechts oder zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke.

In nicht öffentlichen Bereichen richtet sich die Zulässigkeit der Videoüberwachung nach den allgemeinen datenschutzrechtlichen Erlaubnistatbeständen z.B. § 28 Abs. 1 S. 1 Nr. 2 BDSG oder § 32 Abs. 1 S. 1 BDSG in Beschäftigungsverhältnissen. Grundsätzlich sollte eine Videoüberwachung für die Betroffenen erkennbar sein; in Ausnahmefällen kann aber auch eine heimliche Videoüberwachung gerechtfertigt sein.

Neben diesen allgemeinen Rechtmäßigkeitsvoraussetzungen gilt es bei der Videoüberwachung noch eine Reihe formaler Anforderungen zu beachten. So ist die Videoüberwachung vorabkontrollpflichtig; vor der Inbetriebnahme ist daher zwingend der Datenschutzbeauftragte mit einer Vorabkontrolle zu betrauen. Unternehmen die keinen Datenschutzbeauftragten haben müssen daher beim Betrieb einer Videoüberwachungsanlage unabhängig von einer Bestellpflicht im Übrigen einen Datenschutzbeauftragten bestellen.

Zudem muss mit Hinweisschildern auf die Videoüberwachung hingewiesen werden (Ausnahme: zulässige heimliche Videoüberwachung) und die Videoüberwachung ist in die Verarbeitungsübersicht aufzunehmen.

Videoüberwachung im Beschäftigungsverhältnis

Siehe Videoüberwachung.

Webanalyse

Webanalyse oder Webtracking bezeichnet die Auswertung des Nutzerverhaltens im Internet. Einzelne Webseitenbetreiber können zu diesem Zweck Analysetools wie Google Analytics [link] oder Piwik Analytics einsetzen und das Nutzungsverhalten auf der eigenen Webseite Nutzen. Der Einsatz dieser Analysetools ist datenschutzrechtlich umstritten. In jedem Fall sollten Webseitenbetreiber auf den Einsatz der Analysetools in der Datenschutzerklärung hinweisen und ggf. weitere Maßnahmen (z.B. Abschluss einer Auftragsdatenverarbeitungsvereinbarung) ergreifen.
Werbenetzwerke analysieren das Nutzungsverhalten webseitenübergreifend und ermöglichen z.B. die Webseitenübergreifende Einblendung von Werbung

Whistle-Blowing

Whistle-Blowing ist ein Begriff aus dem anglo-amerikanischen Sprachraum, der sich mit Hinweise geben übersetzen lässt. Gemeint sind damit Systeme mit denen Hinweise auf (mögliche) Gesetzesverstöße gegeben werden können. Für unternehmensinternes Whistle-Blowing werden häufig Telefon-Hotlines oder Funktions-E-Mail-Postfächer betrieben; teilweise unter Einschaltung externer Dienstleister. Datenschutzrechtlich ist der Betrieb dieser Whistle-Blowing-Hotlines eine grundsätzlich kritische Datenerhebung ohne Kenntnis des Betroffenen und nur unter strenger Beachtung der Erforderlichkeit und Angemessenheit zulässig.

Unternehmen, die Whistleblowing-Hotlines betreiben sollten insbesondere prüfen, wie sie angemessene Transparenz über die Whistleblowing-Hotline herstellen können und die Betroffenenrechte auf Auskunft über die erhobenen Daten und – insbesondere bei Erledigung des Verdachts – auf Löschung wahren ohne den Zweck der Whistleblowing-Hotline zunichte zu machen.

Externes Whistle-Blowing bezeichnet die Meldung von (Rechts-)Verstößen an Stellen außerhalb der eigenen (Unternehmens-)Organisation. Der Meldende bewegt sich beim externen Whistle-Blowing in einem Spannungsfeld zwischen (arbeitsvertraglichen) Treuepflichten und seinen Rechten und Pflichten als Bürger in einem Rechtsstaat.

Whistle-Blowing-Hotline

Siehe Whistle-Blowing.