Das Wichtigste auf einen Blick
- Die DSGVO und das BDSG regeln, wie mit personenbezogenen Daten wie Name, Adresse oder E-Mail umzugehen ist – ob im Online-Shop, in der Arztpraxis oder bei der Vereinsverwaltung.
- Betroffene von Datenerhebung haben im Datenschutz weitreichende Rechte. Dazu zählen das Recht auf Auskunft, Berichtigung, Löschung und Information bei Datenpannen – und Unternehmen sind verpflichtet, diese umzusetzen.
- Für die Verantwortlichen gelten hingegen klare Pflichten. Dazu gehören u. a. Datenschutzkonzepte, Verzeichnisse, technisch-organisatorische Maßnahmen (TOM) und – je nach Größe – die Bestellung eines Datenschutzbeauftragten.
Sie brauchen Unterstützung im Datenschutzrecht?
Ob Verarbeitungsverzeichnis, AVV, TOM oder Folgenabschätzung: Wir informieren Sie in einem kostenfreien telefonischen Erstgespräch über alle gesetzlichen Vorgaben, wichtige Maßnahmen und Kosten.
Inhaltsverzeichnis
1. Was ist Datenschutz?
Datenschutz bezeichnet den Schutz personenbezogener Daten vor unrechtmäßiger Erhebung, Verarbeitung und Weitergabe sowie das Recht auf informationelle Selbstbestimmung von Menschen.
Geregelt wird der Schutz von personenbezogenen Daten durch die europaweit geltende Datenschutz-Grundverordnung (DSGVO) und in Deutschland spezifisch auch durch das Bundesdatenschutzgesetz (BDSG).
- DSGVO: Die Datenschutz-Grundverordnung stellt Regeln für den Umgang mit personenbezogenen Daten auf und enthält zahlreiche Vorgaben dazu, z. B. wann diese Daten von Unternehmen verarbeitet werden dürfen, wie sie zu verarbeiten sind und welche Rechte Betroffene haben.
- BDSG: Das Bundesdatenschutzgesetz regelt den Umgang mit personenbezogenen Daten in Deutschland und konkretisiert bzw. ergänzt die DSGVO dort, wo einzelne Regelungen den einzelnen EU-Mitgliedsstaaten überlassen sind.
Was fällt alles unter den Datenschutz?
Alle personenbezogenen Daten von Menschen fallen unter den Datenschutz. Ob die Daten manuell oder automatisiert verarbeitet und wie sie gespeichert werden, spielt dabei keine Rolle. Wer personenbezogene Daten erhebt, verarbeitet oder speichert, muss die Vorgaben von DSGVO und BDSG umsetzen.
Personenbezogene Daten sind Daten, mit denen sich eine Person identifizieren lässt und diese sind u. a. vor unerlaubter Erhebung, Verarbeitung oder Weitergabe zu schützen.
Welche Rechte haben Privatpersonen im Datenschutz?
Durch die DSGVO und das BDSG sind die personenbezogenen Daten von Privatpersonen vor Datenmissbrauch geschützt. Privatpersonen können auch kontrollieren, welche ihrer Daten wie gespeichert, verarbeitet oder weitergegeben werden.
Diese Rechte für Privatpersonen sind daher u.a. mit dem Datenschutz verbunden:
- Sie müssen vorab eine Information darüber erhalten, welche Daten zu welchem Zweck und wie lange gespeichert werden – und ausdrücklich ihr Einverständnis dazu erteilen (Art. 6 DSGVO).
- Sie dürfen Auskunft darüber verlangen, welche personenbezogenen Daten zu welchen Zwecken gespeichert und genutzt werden (Art. 15 DSGVO).
- Sie dürfen die Korrektur falscher oder veralteter Daten verlangen (Art. 16 DSGVO).
- Sie dürfen die Löschung ihrer Daten verlangen, wenn diese nicht für z. B. die Erfüllung gesetzlicher Aufbewahrungsfristen oder der Vertragsabwicklung gespeichert werden müssen (Art. 17 DSGVO).
Sie sind darüber in Kenntnis zu setzen, wenn die Sicherheit ihrer Daten durch einen Verstoß, ein Datenleck oder einen Hackerangriff bedroht ist (Art. 34 DSGVO).
2. Die DSGVO: Einfach erklärt!
Die DSGVO regelt den Schutz personenbezogener Daten in der EU, um Personen bei der Verarbeitung ihrer Daten zu schützen und den freien Datenverkehr sicherzustellen.
Deswegen enthält die Datenschutzgrundverordnung zahlreiche Bestimmungen zur Erhebung, Verarbeitung und Speicherung personenbezogener Daten durch private Unternehmen und öffentliche Stellen.
Wann und für wen gilt die DSGVO?
Die Vorgaben sind dann umzusetzen, sobald personenbezogene Daten von Dritten im nicht ausschließlich privaten Kontext erhoben, verarbeitet oder gespeichert werden. Deswegen sind die Vorgaben zum Datenschutz sowohl in der Arztpraxis, in Unternehmen, von Behörden als auch von Vereinen umzusetzen.
Auch wenn ein Unternehmen seinen Sitz nicht in der EU hat, gilt die DSGVO, wenn es eine oder mehrere Niederlassungen in der EU hat oder personenbezogene Daten von EU-Bürger:innen verarbeitet.
Wann gilt die DSGVO für Privatpersonen?
Bei der Verarbeitung von personenbezogenen Daten im privaten oder familiären Kontext gilt die DSGVO nicht – das nennt man Haushaltsprivileg. Sobald die Datenverarbeitung aber über diesen Kontext hinausgeht, beispielsweise bei Veröffentlichungen auf Social Media, gilt dieses Haushaltsprivileg nicht und auch Privatpersonen müssen die gesetzlichen Vorgaben umsetzen.
Das Haushaltsprivileg ist sehr eng auszulegen. Der EuGH hat in seiner Buivids-Entscheidung (C-345/17) 2019 festgestellt, dass dazu nur Tätigkeiten zu zählen seien, die dem Privat- oder Familienleben zuzurechnen sind.
Rechtsanwalt Martin Jedwillat
Werden personenbezogene Daten wie Kontaktdaten oder Fotos durch eine Veröffentlichung im Internet einer unbegrenzten Anzahl von Personen zugänglich gemacht, greift das Haushaltsprivileg für Privatpersonen nicht mehr – diese haben dann die DSGVO umzusetzen.
Wem gilt der Schutz der DSGVO?
Die DSGVO schützt natürliche Personen und die personenbezogenen Daten von natürlichen Personen vor unerlaubter Erhebung, Verarbeitung, Speicherung und Weitergabe. Unternehmen und Unternehmensdaten sind von diesem Schutz ausgeschlossen.
Welche Daten fallen unter die DSGVO?
Unter die DSGVO fallen alle personenbezogenen Daten, durch die sich Personen identifizieren lassen. Dazu zählen alle Informationen, die Rückschlüsse auf physische, psychische, genetische, wirtschaftliche, kulturelle oder soziale Eigenschaften einer Person zulassen.
Folgende Daten fallen daher u. a. unter die DSGVO:
- Name
- Telefonnummer
- Adresse
- Mailadresse
- Kfz-Kennzeichen
- Personalausweisnummer
- Kreditkartennummer
- Standortdaten
- Kennnummern
- Gesundheitsdaten
- Online-Kennnummern
- Aussehen
3. Was bedeutet Datenschutz im Unternehmen?
Alle Unternehmen, die personenbezogene Daten von EU-Bürger:innen verarbeiten, müssen umfangreiche Maßnahmen zum Datenschutz im Unternehmen ergreifen. Daneben ist den Betroffenen dieser Datenverarbeitung eine Kontrolle über ihre Daten zu gewährleisten.
Die Maßnahmen zum Schutz personenbezogener Daten im Unternehmen sind in DSGVO und BDSG geregelt. Die Einhaltung dieser Vorgaben ist bei einer Überprüfung durch die zuständige Aufsichtsbehörde nachzuweisen
Welche datenschutzrechtlichen Pflichten hat ein Unternehmen?
Unternehmen haben u. a. folgende datenschutzrechtlichen Pflichten:
- Die umfangreichen Rechte von Betroffenen einer Datenverarbeitung (Auskunft, Löschung, Berichtigung usw.) sind sicherzustellen.
- Für die Arbeit mit personenbezogenen Daten müssen sich Mitarbeitende auf das Datengeheimnis verpflichten.
- Personenbezogene Daten sind vor unbefugtem Zugriff und Datenmissbrauch zu schützen.
- Die Übermittlung personenbezogener Daten darf nur über eine Zweckbindung an befugte Stellen erfolgen.
- Die Daten von Mitarbeitenden dürfen nur dann erhoben oder verarbeitet werden, wenn sie für ein neues Beschäftigungsverhältnis oder die Beendigung der Tätigkeit notwendig sind.
- Personenbezogene Daten dürfen zu kommerziellen Zwecken nur eingesetzt werden, wenn die Betroffenen vorher ihre Zustimmung erteilt haben.
Wenn eine umfangreiche Verarbeitung personenbezogener Daten (laut Art. 37 Abs. 1 lit c DSGVO) oder mindestens 20 Personen personenbezogene Daten, z. B. Kundendaten, verarbeiten (laut § 38 Abs. 1 BDSG), muss vom Unternehmen auch ein:e Datenschutzbeauftragte:r ernannt werden. 38 Abs. 1 BDSG mindestens 20 Personen personenbezogene Daten z. B. Kunden verarbeiten.
Wer ist verantwortlich für den Datenschutz im Unternehmen?
Für den Datenschutz im Unternehmen verantwortlich ist die für das Unternehmen vertretungsberechtigte Person. Das ist in der Regel die Geschäftsführung oder der Vorstand.
Auch wenn das Unternehmen eine:n Datenschutzbeauftragte:n bestellen musste oder freiwillig bestellt hat, bleibt die korrekte Umsetzung der DSGVO Aufgabe von Geschäftsführung oder Vorstand. Datenschutzbeauftragte kontrollieren lediglich, ob alle Vorgaben korrekt umgesetzt werden.
Wer kontrolliert den Datenschutz im Unternehmen?
Die Einhaltung des Datenschutzes im Unternehmen wird von internen Datenschutzbeauftragten und der zuständigen Aufsichtsbehörde kontrolliert. Das sind der:die Bundesbeauftragte für den Datenschutz, die Datenschutzbeauftragten der Bundesländer und die Bundesnetzagentur.
Konsequenzen bei fehlerhafter Umsetzung
Wird die Datenschutz-Grundverordnung nicht ausreichend oder fehlerhaft umgesetzt, können diverse Konsequenzen drohen, unter anderem empfindliche Bußgelder von den Datenschutzbehörden und auch Schadensersatzzahlungen an betroffene Personen. Die Bußgelder können bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes betragen.Bei den Schadensersatzzahlungen lässt sich keine Höhe festlegen – da dies abhängig vom entstandenen Schaden ist. Auch immaterieller Schaden muss ausgeglichen werden. Laut DSGVO (Art. 82 DSGVO) gibt es hierfür auch keine Bagatellgrenze.
4. Wie hilft advomare beim Datenschutz?
m die gesetzlichen Vorgaben zum Datenschutz im Unternehmen umzusetzen und DSGVO-Verstößen vorzubeugen, unterstützen wir Unternehmen mit unserer Expertise bei der Erstellung einer wirksamen und effektiven Strategie mit allen notwendigen Maßnahmen und Aufgaben.
Weil wir bereits eine Vielzahl an behördlichen und gerichtlichen Datenschutzverfahren begleitet haben, wissen wir, dass bei der Bearbeitung von Beschwerden oder behördlichen Verfahren leicht kostspielige Fehler passieren können.
Wir helfen Ihnen dabei, auf eine Beschwerde oder einen Verstoß schnell und effektiv zu reagieren – und damit den Schaden zu begrenzen. Außerdem übernehmen wir Ihre Vertretung vor Behörden oder Gerichten und versuchen, auf Grundlage einer stichhaltigen Stellungnahme die Einstellung des Verfahrens zu erreichen.Wir sind auch Ihr Ansprechpartner, wenn Sie einen externen Datenschutzbeauftragten bestellen möchten oder müssen.
5. Was muss man beachten beim Datenschutz? | Checkliste
Um den Schutz personenbezogener Daten und alle wichtigen Vorgaben von DSGVO und BDSG umzusetzen, können u. a. folgende Maßnahmen helfen:
1. Datenschutzkonzept erarbeiten
In einem Datenschutzkonzept wird der Schutz personenbezogener Daten zusammengefasst. Dazu gehören u. a. folgende Informationen:
- Ziele
- Zuständigkeiten
- Dokumentationspflichten
- Beschreibung der personenbezogenen Daten
- Angabe ihrer Zweckbindung
- Verantwortliche Stelle
- Gewährleistung der Betroffenenrechte
- Technisch-organisatorische Maßnahmen (TOM)
2. Verarbeitungsverzeichnis erstellen
Alle Tätigkeiten, bei denen personenbezogene Daten verarbeitet werden, sind in einem Verarbeitungsverzeichnis zu dokumentieren. Dieses Verzeichnis ist fortlaufend zu aktualisieren und Behörden auf Nachfrage vorzulegen.
Folgende Angaben sind im Verarbeitungsverzeichnis zu machen:
- Verarbeitungstätigkeit
- Verarbeitungszweck
- Rechtsgrundlage
- Datum der erstmaligen Verarbeitung
- Weitergaben
- Transfers in Drittländer
- Löschfrist
- Verarbeitung besonderer Kategorien
- Betroffene Personen bzw. Personengruppe
- Ansprechpartner
- Datenschutzbeauftragter
- Zugriffsberechtigte
- Technisch-organisatorische Maßnahmen (TOM) zum Schutz der Daten
- ggf. Ergebnis einer Folgenabschätzung
3. Technisch-organisatorische Maßnahmen (TOM) umsetzen
Technische und organisatorische Maßnahmen (TOM) helfen bei der Umsetzung der datenschutzrechtlichen Vorgaben. Alle Maßnahmen sind in einem TOM-Verzeichnis zu dokumentieren.
Diese TOM stellen den Schutz personenbezogener Daten im Unternehmen sicher:
- Der Zugang zu personenbezogenen Daten ist beschränkt.
- Die Daten sind durch z. B. ein sicheres Passwort vor Fremdzugriff geschützt.
- Die Daten sind pseudonymisiert – eine Buchstaben- oder Zahlenkombination ersetzt z. B. Name oder Adresse.
- Die personenbezogenen Daten sind korrekt und aktuell – alle Änderungen sind zu dokumentieren.
- Die Daten sind auch bei technischen Problemen oder einem Stromausfall verfügbar und zugänglich.
- Sie lassen sich nach unbeabsichtigter oder unbefugter Löschung wiederherstellen.
- Der Schutz vor Unfällen oder Eindringlingen ist durch die kontinuierliche Überprüfung und Aktualisierung von Systemen oder Programmen sichergestellt.
- Die TOM werden regelmäßig auf ihre Funktionsfähigkeit und Effektivität geprüft.
4. Auftragsdatenverarbeitung regeln
Ein DSGVO-konformer Auftragsverarbeitungsvertrag (AVV) ist notwendig, wenn personenbezogene Daten von Drittanbietern verarbeitet werden. Er hat meist folgende Inhalte:
- Gegenstand, Dauer & Vergütung
- Verarbeitete Daten-Kategorien & betroffene Personenkategorien
- Verlängerung & Kündigung
- Verantwortlichkeiten & Weisungsbefugnis
- Gesetzliche Pflichten
- Mitteilungs- & Mitwirkungspflichten
- Berichtigung, Löschung & Sperrung von Daten
- TOM zur Gewährleistung der Datensicherheit
- Regelungen zu Subunternehmern
5. Folgenabschätzung vornehmen
In einer Folgenabschätzung sind alle Risiken für den Schutz von personenbezogenen Daten zu benennen und zu erläutern. Daneben müssen Maßnahmen beschrieben werden, mit denen sich diese Risiken verhindern lassen.
6. Homepage DSGVO-konform gestalten
Um den Schutz personenbezogener Daten auch auf der Homepage sicherzustellen, ist diese mit einer TSL/SSL-Verschlüsselung zu versehen. Dies betrifft auch ein Kontaktformular oder die Terminbuchung.
Zudem ist den Nutzer:innen eine Datenschutzerklärung auf der Webseite zur Verfügung zu stellen. Diese muss laut Art. 13 DSGVO leicht zugänglich, übersichtlich und verständlich sein und folgende Inhalte haben:
- Seitenbetreiber
- Datenschutzbeauftragter
- Überblick über verarbeiteten Daten
- Zwecke & Rechtsgrundlage für die Datenverarbeitung
- Benennung des berechtigten Interesses der Verarbeitung
- Datenempfänger & Empfängerkategorien
- Übertragungen in Drittländer
- Speicherdauer
- Benennung von Betroffenenrechten
- Automatisierte Entscheidungsfindung
7. Homeoffice regeln
Die Datenschutz-Grundverordnung gilt auch für die Arbeit von zuhause – deswegen ist auch im Homeoffice Datenschutz zu gewährleisten. Hierfür bieten sich diese Maßnahmen an:
- Zugang zu Daten beschränken
- Dokumente sicher aufbewahren
- Bildschirm und Laptop vor Dritten schützen
- Daten regelmäßig sichern
- Betriebssystem, Software und Apps regelmäßig aktualisieren
- Antiviren-Software und Passwort-Manager benutzen
- Dokumente nur mit Schredder oder im Büro entsorgen
8. Mitarbeitende informieren
Mitarbeitende müssen über alle Regeln und Vorgaben für den Schutz personenbezogener Daten belehrt werden. Außerdem sind diese Belehrungen zu verschriftlichen und von allen Mitarbeitern zu unterschreiben.
Darüber hinaus müssen Mitarbeitende in regelmäßigen Schulungen über die Regeln, Vorgaben und Risiken des Schutzes personenbezogener Daten im Unternehmen aufgeklärt werden. Außerdem sollten den Mitarbeitenden feste Ansprechpersonen für ihre Fragen zur Verfügung stehen.
9. Datenschutzverletzungen melden
Ein DSGVO Verstoß ist innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde zu melden, wenn dadurch ein Risiko für die Betroffenen besteht.
Stellt die Datenschutzverletzung ein besonders hohes Risiko für die Betroffenen dar, sind auch diese zu informieren.
10. Datenschutzbeauftragten bestellen
Datenschutzbeauftragte schulen und beraten Geschäftsführung, Mitarbeitende und Auftragsdatenverarbeitende zum Schutz personenbezogener Daten im Unternehmen oder in Behörden. Daneben überwachen diese die diesbezüglichen Maßnahmen und die Einhaltung der DSGVO.
In den folgenden Fällen sind Unternehmen gesetzlich zur Bestellung verpflichtet:
- Mindestens 20 Personen sind ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt.
- Für die Verarbeitungstätigkeiten ist eine Folgenabschätzung vorgeschrieben.
- Personenbezogene Daten werden zum Zweck der Übermittlung, der anonymisierten Übermittlung oder der Markt- oder Meinungsforschung verarbeitet.
- Das Unternehmen überwacht regelmäßig, umfangreich und systematisch Personen.
- Es werden besondere Kategorien von Daten wie u. a. genetische, biometrische oder ethnische Daten umfangreich verarbeitet.
Wer über die notwendigen Fachkenntnisse verfügt, darf als Datenschutzbeauftragte:r eingesetzt werden – dies können Mitarbeitende oder auch externe Personen sein. Wann diese Eignung genau vorliegt, dazu macht die Datenschutz-Grundverordnung keine Angaben. Allerdings kann eine Zertifizierung durch u. a. TÜV und IHK sinnvoll sein.
Einen darauf spezialisierten Rechtsanwalt als Datenschutzbeauftragten zu berufen, hat gleich mehrere Vorteile: Er stellt nicht nur sicher, dass Sie alle erforderlichen Maßnahmen zum Schutz personenbezogener Daten umsetzen, sondern er kann Sie auch umfassend zu allen rechtlichen Problemstellungen beraten, Beschwerden bearbeiten, behördliche Prüfungen begleiten und vor Behörden oder Gerichten vertreten.
Rechtsanwalt Martin Jedwillat
Sie brauchen Unterstützung im Datenschutzrecht?
Ob Verarbeitungsverzeichnis, AVV, TOM oder Folgenabschätzung: Wir informieren Sie in einem kostenfreien telefonischen Erstgespräch über alle gesetzlichen Vorgaben, wichtige Maßnahmen und Kosten.
6. FAQ: häufigste Fragen zu DSGVO & Datenschutz im Unternehmen
Was bedeutet Datenschutz im Unternehmen?
Datenschutz im Unternehmen bedeutet Schutz personenbezogener Daten wie Name, Geschlecht, Familienstand, Gesundheitszustand und Sexualität vor unerlaubter Erhebung, Verarbeitung und Weitergabe sowie das Recht auf informationelle Selbstbestimmung von Betroffenen.
Warum ist Datenschutz wichtig für Unternehmen?
Alle Unternehmen, die personenbezogene Daten von EU-Bürger:innen verarbeiten, müssen die Vorgaben der Datenschutz-Grundverordnung (DSGVO) zum Schutz personenbezogener Daten einhalten. Dadurch vermeiden sie Abmahnungen von Wettbewerbern, Bußgelder, Geld- und Freiheitsstrafen und Schadensersatzzahlungen.
Was ist die europäische Datenschutz-Grundverordnung?
Die europäische Datenschutz-Grundverordnung (DSGVO) regelt und vereinheitlicht den Schutz personenbezogener Daten in der Europäischen Union. Sie enthält zahlreiche Bestimmungen zur Erhebung. Verarbeitung und Speicherung personenbezogener Daten natürlicher Personen durch natürliche Personen, Unternehmen oder Organisationen in der EU.
Welche Unternehmen müssen die DSGVO umsetzen?
Jedes Unternehmen muss die DSGVO unabhängig von seiner Größe oder seinem Jahresumsatz umsetzen, wenn es personenbezogene Daten von EU-Bürger:innen erhebt, verarbeitet oder speichert.
Auch wenn ein Unternehmen seinen Sitz nicht in der EU hat, ist die DSGVO umzusetzen, wenn es eine oder mehrere Niederlassungen in der EU hat oder personenbezogene Daten von EU-Bürger:innen verarbeitet.
Was sind die wichtigsten Regeln des Datenschutzes?
Die wichtigsten Regeln für den Schutz personenbezogener Daten sind:
– Betroffenenrechte sicherstellen
– Mitarbeitende auf das Datengeheimnis verpflichten
– Daten vor unbefugtem Zugriff und Datenmissbrauch schützen
– Personenbezogene Daten nur mit Zweckbindung an befugte Stellen übermitteln
– Daten nur nach Zustimmung kommerziell nutzen
(Bild: wladimir1804 – stock.adobe.com)