Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen (d. h. die betroffene Person). Der Begriff „identifizierbar“ bezieht sich auf jene Personen, die direkt oder indirekt identifiziert werden können, insbesondere mittels Zuordnung zu einem bestimmten Erkennungsmerkmal.
Eine betroffene Person sind Sie (d. h. die natürliche Person, auf die sich die personenbezogenen Daten beziehen). Eine betroffene Person ist jede natürliche Person, die direkt oder indirekt über ein Erkennungsmerkmal wie einen Namen, eine Kennnummer, Standortdaten oder über besondere Merkmale ihrer physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität identifiziert werden kann.
Der „Health Insurance Portability and Accountability Act“ (HIPAA) ist ein US-amerikanisches Bundesgesetz, das Datenschutzstandards zum Schutz von Patientenakten und anderen Gesundheitsinformationen festlegen soll, die Operateur:innen, Krankenkassen, Krankenhäusern, Geschäftspartner:innen und anderen Leistungserbringenden im Gesundheitswesen bereitgestellt werden.
Im Sinne des HIPAA sind geschützte Gesundheitsdaten (Protected Health Information, PHI) Gesundheitsdaten in jeglicher Form, einschließlich physischer Aufzeichnungen, elektronischer Aufzeichnungen oder mündlicher Informationen über den Gesundheitszustand einer Person, die Bereitstellung der Gesundheitsversorgung oder die Bezahlung der Gesundheitsversorgung, die Organisationen erstellen oder erheben und die mit einer bestimmten Person in Verbindung gebracht werden können. Es gibt 18 HIPAA-Kennungen, die Gesundheitsdaten zu PHI machen.
Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung des EU-Rechts über den Datenschutz und den Schutz der Privatsphäre in der Europäischen Union und im Europäischen Wirtschaftsraum. Die DSGVO regelt, wie Unternehmen personenbezogene Daten von EU-Bürgern schützen.
Besondere Kategorien personenbezogener Daten im Sinne der DSGVO umfassen Daten, aus denen die kulturelle und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.
Gesundheitsdaten bezeichnen personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.
Verarbeitung bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang im Zusammenhang mit personenbezogenen Daten oder mit Sätzen personenbezogener Daten. Beispiele der Verarbeitung umfassen das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Im Grunde genommen wird jeglicher Umgang mit personenbezogenen Daten, den Sie sich vorstellen können, als Verarbeitung betrachtet.
Die Verarbeitung personenbezogener Daten ist rechtmäßig, wenn die natürliche Person in Kenntnis der Sachlage eingewilligt hat oder wenn die Verarbeitung notwendig ist, z. B. zur Erfüllung eines Vertrags, zur Einhaltung europäischer Rechtsvorschriften, zum Schutz des Lebens einer Person, zur Wahrnehmung einer Aufgabe im öffentlichen Interesse oder zur Wahrnehmung amtlicher Funktionen oder zur Förderung berechtigter Interessen.
Anonymisierung bedeutet, personenbezogene Daten so zu unkenntlich zu machen, dass die betroffene Person nicht mehr identifizierbar ist. Dazu müssen alle Erkennungsmerkmale entfernt werden, die vom Verantwortlichen oder einer anderen Person verwendet werden, um eine natürliche Person vernünftigerweise zu identifizieren. Informationen, die wirklich anonym sind, fallen nicht unter die DSGVO.
Die Pseudonymisierung bezeichnet die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können. Die zusätzlichen Informationen werden gesondert aufbewahrt und unterliegen technischen und organisatorischen Maßnahmen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden. Informationen, bei denen Erkennungsmerkmale entfernt oder ersetzt worden sind, um die Daten zu pseudonymisieren, werden im Sinne der DSGVO immer noch als personenbezogene Daten betrachtet.
Profiling ist jegliche Form der automatischen Verarbeitung personenbezogener Daten, bei der persönliche Aspekte bewertet werden, insbesondere zur Analyse und Vorhersage von Aspekten, die Ihre persönlichen Vorlieben oder Interessen, Ihre Zuverlässigkeit oder Ihr Verhalten, Ihren Standort oder Ihre Bewegungen betreffen.
Die Einwilligung ist eine klare, eindeutige Handlung, mit der eine betroffene Person freiwillig, für den konkreten Fall, in Kenntnis der Sachlage und unmissverständlich bekundet, dass sie mit der Verarbeitung ihrer personenbezogenen Daten einverstanden ist.
Sollte für die Verarbeitung personenbezogener Daten eine Einwilligung erforderlich sein, ist diese gesondert einzuholen. Die Bereitstellung einer Datenschutzerklärung ersetzt nicht die Einholung einer Einwilligung.
Ein Verantwortlicher ist eine juristische Person, die, alleine oder zusammen mit anderen, die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt. Die Verantwortlichen üben die Kontrolle über die Zwecke und Mittel der Verarbeitung personenbezogener Daten aus. Die Verantwortlichen müssen die Grundsätze des Datenschutzes sowie andere Anforderungen der DSGVO einhalten und diese Einhaltung nachweisen. Sie sind auch für die Konformität ihres/ihrer Auftragsverarbeiter verantwortlich. Wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegen, dann sind sie gemeinsame Verantwortliche. Allerdings handelt es sich nicht um gemeinsame Verantwortliche, wenn sie dieselben Daten für unterschiedliche Zwecke verarbeiten.
Auftragsverarbeiter sind juristische Personen, die personenbezogene Daten im Auftrag von Verantwortlichen verarbeiten. Wenn es keinen vorgesehenen Zweck für die Verarbeitung der Daten gibt und Sie nur auf Anweisung eines Kunden handeln, sind Sie wahrscheinlich ein Auftragsverarbeiter, auch wenn Sie technische Entscheidungen darüber treffen, wie Sie die Daten verarbeiten. Bei der Verarbeitung im Auftrag von Verantwortlichen dürfen Verantwortliche nur Auftragsverarbeiter einsetzen, die ausreichende Garantien liefern, dass sie geeignete technische und organisatorische Maßnahmen derart umsetzen, dass die Verarbeitung die Anforderungen der DSGVO erfüllt, einschließlich des Schutzes der Verarbeitung und des Schutzes der Rechte der betroffenen Person.
Auftragsverarbeiter können einen anderen Auftragsverarbeiter, einen sogenannten „Unterauftragsverarbeiter“, damit beauftragen, bestimmte Verarbeitungstätigkeiten im Auftrag des Verantwortlichen durchzuführen. In solchen Fällen werden dem Unterauftragsverarbeiter dieselben Datenschutzverpflichtungen auferlegt, die im Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter festgelegt sind (d. h. geeignete technische und organisatorische Maßnahmen).
Kommt der Unterauftragsverarbeiter seinen Datenschutzverpflichtungen nicht nach, haftet der ursprüngliche Auftragsverarbeiter gegenüber dem Verantwortlichen weiterhin vollumfänglich für die Erfüllung seiner Pflichten. Die Beauftragung des Unterauftragsverarbeiters bedarf der vorherigen ausdrücklichen oder allgemeinen schriftlichen Genehmigung des Verantwortlichen. Im Falle einer allgemeinen schriftlichen Genehmigung hat der Auftragsverarbeiter den Verantwortlichen über beabsichtigte Änderungen hinsichtlich der Hinzufügung oder Ersetzung von Unterauftragsverarbeitern zu informieren und ihm dabei die Möglichkeit zu geben, solchen Änderungen zu widersprechen.
Jeder, bei dem es sich nicht um eine betroffene Person, den Verantwortlichen oder Auftragsverarbeiter handelt, wird Dritter genannt. Beispiele für Dritte könnten eine Reinigungsfirma sein, die mit der Reinigung der Büros beauftragt wird, oder ein Unternehmen, das Geräte wartet. Obwohl sie vielleicht während des Aufenthalts in den Büroräumen oder bei der Arbeit an Geräten auf personenbezogene Daten stoßen können, können sie ihre Aufgabe ohne Zugang zu den Daten erledigen. Außerdem ist es Dritten vertraglich untersagt, auf personenbezogene Daten, die ein Unternehmen als Verantwortlicher aufbewahrt, zuzugreifen oder sie anderweitig zu verarbeiten.
Ein Empfänger ist eine andere juristische Person, der wir personenbezogene Daten offenlegen können, unabhängig davon, ob es sich um Dritte handelt.
Eine Datenverarbeitungsvereinbarung (Data Processing Agreement, DPA) ist ein rechtsverbindlicher Vertrag, der die Rechte und Pflichten jeder Partei in Bezug auf den Schutz personenbezogener Daten festlegt.
Um wirksame und passende Maßnahmen zur Gewährleistung sicherer internationaler Datenübermittlungen zu ergreifen, hat der Europäische Datenschutzausschuss (EDPB) am 18. Juni 2021 Empfehlungen zur Sicherung internationaler Datenübermittlungen verabschiedet. Diese Empfehlungen stützen sich auf das „Schrems II“-Urteil des Europäischen Gerichtshofs, das die Verantwortlichen, die personenbezogene Daten in Nicht-EU-Länder übermitteln, dazu verpflichtet, zusätzliche Maßnahmen zur Sicherung der Datenübermittlung zu treffen.
Die Standardvertragsklauseln (Standard Contractual Clauses, SCC) enthalten vertragliche Verpflichtungen zwischen dem Datenexporteur und dem Datenimporteur sowie die Rechte natürlicher Personen, deren personenbezogene Daten übermittelt werden.
Der europäische Ansatz für die Datenverarbeitung beinhaltet das Schlüsselkonzept der Bestandsaufnahme aller Datenübermittlungen („Know Your Transfer“), das sich auf das Land bezieht, in das personenbezogene Daten zur Verarbeitung übermittelt werden. Auf Grundlage des „Schrems II“-Urteils des Europäischen Gerichtshofs ist der Verantwortliche, der personenbezogene Daten in ein Nicht-EU-Land übermittelt, verpflichtet, zusätzliche Maßnahmen zur Sicherung der Datenübermittlung zu treffen.
Der Begriff „Drittland“ wird in der DSGVO nicht definiert, sondern stammt aus den wichtigsten primärrechtlichen Verträgen der EU und bezieht sich auf Länder, die nicht Parteien dieser Verträge sind. Er ist ein gängiger Begriff im EU-Recht und bezieht sich normalerweise auf jedes Land, das nicht Teil einer Organisation ist, die unter dieses Recht fällt. Da die DSGVO in der EU und dem EWR als Gesetz angewandt wird, bezieht sich der Begriff „Drittland“ auf jene Länder, die keine Mitgliedsstaaten der EU oder des EWR sind.
Der „Angemessenheitsbeschluss“ der Europäischen Kommission bestätigt, dass ein anderes Land, ein anderes Hoheitsgebiet oder ein anderer Geschäftsbereich außerhalb der EU ein gleichwertiges Schutzniveau für personenbezogene Daten bietet wie die EU. Eine aktualisierte Liste der Länder mit Angemessenheitsbeschlüssen finden Sie unter (https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en).
Eine Geschäftspartnervereinbarung (Business Associate Agreement, BAA) ist eine schriftliche Vereinbarung, in der die Zuständigkeiten jeder Partei festgelegt sind, wenn es um den Umgang mit PHI geht. Die Organisationen und Geschäftspartner müssen zufriedenstellende Zusicherungen schriftlich vereinbaren. Alle BAA müssen von der für den Datenschutz zuständigen Abteilung geprüft und unterzeichnet werden.
Das Konzept des „eingebauten Datenschutzes“ erfordert, dass der Schutz der Privatsphäre und der Datenschutz in den gesamten Lebenszyklus eines Projekts eingebettet sind, vom Entwurf bis zur Entwicklung, Nutzung und Entsorgung. Die wichtigsten Funktionen des „eingebauten Datenschutzes“ sind proaktives Handeln, die Einführung von Datenschutzkontrollen und der Nachweis der Achtung des Schutzes der betroffenen Personen. Die Idee ist, dass das Datenschutzteam in den Anfangsphasen einer Projektidee benachrichtigt wird, sodass Datenschutzkontrollen berücksichtigt werden können.
Dem HIPAA nach ist eine Verletzung des Schutzes von PHI der Erwerb, der Zugriff, die Verwendung oder die Offenlegung von ungesicherten PHI in einer Weise, die nach dem HIPAA nicht zulässig ist und die ein erhebliches Risiko eines finanziellen Schadens, einer Rufschädigung oder sonstigen Schadens für eine natürliche Person darstellt. Die HIPAA-Vorschrift über die Meldepflicht im Falle einer Verletzung verpflichtet Organisationen und Geschäftspartner, betroffene natürliche Personen, das HHS (Gesundheitsministerium) und in einigen Fällen die Medien über eine Verletzung ungesicherter PHI zu informieren.
Im Sinne der DSGVO ist eine Verletzung des Schutzes personenbezogener Daten eine Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Vernichtung, zum Verlust, zur Änderung, zur unbefugten Offenlegung oder zum Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder anderweitig verarbeitet wurden.